用内部对象时网站很容易受到不安

MimJaNNaT

程序的客户客户端或其他用户的敏感信息为了窃取这些机密信息攻击者会尝试使用注入来获取数据库的访问权限。攻击者首先找到一个输入并将其包含在查询中。然后攻击者插入包含在该查询中并由服务器执行的恶意负载。现在攻击者可以创建读取更新更改和删除数据库中维护的记录。用户输入验证和验证不当的网站总是容易遭受注入。为了使您的网站免遭注入请始终验证和确认用户提供的输入。另请阅读强化安全性初学者教程破坏的身份验证和会话管理与会话管理和身份验证相关的功能实施不正确可能会导致此类网站漏洞。

利用此漏洞攻击者可以窃取会话或密码。攻击者可以是外部代理或授权用户。外部和内部代理都使用被盗的用户名和密码冒充授权用户来访问他们无权访问的内容。由于开发人员错误地构建了自定义身份验证和会话管理方案该漏洞可能存在于网站中。正确而仔细地开发自定义身份验证 智利电话号码表 和会话管理方案非常重要以防止损坏的身份验证和会话管理。使用复杂的密码限制一次登录尝试的次数加强密码控制以加密形式存储密码保护会话以及其他几种预防措施可以保护您的网站免受此漏洞的影响。跨站脚本与注入一样它是另一种代码注入攻击。



基本上恶意代码被注入网站并在浏览器中执行。在输出中使用用户输入而不进行任何验证和加密的网站总是容易出现。在此攻击中浏览器是间接目标。当受害者访问受感染的页面时恶意代码就会传递到浏览器。一旦执行此恶意代码攻击者就可以访问等对象。由于会话令牌存储在中攻击者可以获取用户的用户名和密码窃取浏览器中存储的其他数据甚至远程控制浏览器。为了避免这种类型的攻击应该对基于输入参数的输出进行编码并且应该对输入参数和基于输入参数的输出进行特殊字符过滤。不安全的直接对象引用当引全的直接对象引用的影响。