永恆國度-新仙境傳說

 找回密碼
 立即註冊
搜索
查看: 12|回復: 0
打印 上一主題 下一主題

用内部对象时网站很容易受到不安

[複製鏈接]

1

主題

1

帖子

12

積分

新手上路

Rank: 1

積分
12
跳轉到指定樓層
樓主
發表於 2024-1-16 11:45 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
程序的客户客户端或其他用户的敏感信息为了窃取这些机密信息攻击者会尝试使用注入来获取数据库的访问权限。攻击者首先找到一个输入并将其包含在查询中。然后攻击者插入包含在该查询中并由服务器执行的恶意负载。现在攻击者可以创建读取更新更改和删除数据库中维护的记录。用户输入验证和验证不当的网站总是容易遭受注入。为了使您的网站免遭注入请始终验证和确认用户提供的输入。另请阅读强化安全性初学者教程破坏的身份验证和会话管理与会话管理和身份验证相关的功能实施不正确可能会导致此类网站漏洞。

利用此漏洞攻击者可以窃取会话或密码。攻击者可以是外部代理或授权用户。外部和内部代理都使用被盗的用户名和密码冒充授权用户来访问他们无权访问的内容。由于开发人员错误地构建了自定义身份验证和会话管理方案该漏洞可能存在于网站中。正确而仔细地开发自定义身份验证 智利电话号码表 和会话管理方案非常重要以防止损坏的身份验证和会话管理。使用复杂的密码限制一次登录尝试的次数加强密码控制以加密形式存储密码保护会话以及其他几种预防措施可以保护您的网站免受此漏洞的影响。跨站脚本与注入一样它是另一种代码注入攻击。



基本上恶意代码被注入网站并在浏览器中执行。在输出中使用用户输入而不进行任何验证和加密的网站总是容易出现。在此攻击中浏览器是间接目标。当受害者访问受感染的页面时恶意代码就会传递到浏览器。一旦执行此恶意代码攻击者就可以访问等对象。由于会话令牌存储在中攻击者可以获取用户的用户名和密码窃取浏览器中存储的其他数据甚至远程控制浏览器。为了避免这种类型的攻击应该对基于输入参数的输出进行编码并且应该对输入参数和基于输入参数的输出进行特殊字符过滤。不安全的直接对象引用当引全的直接对象引用的影响。

回復

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

Archiver|手機版|自動贊助|永恆國度-新仙境傳說  

GMT+8, 2024-11-21 14:36 , Processed in 0.226359 second(s), 4 queries , File On.

抗攻擊 by GameHost X3.3

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
一粒米 | 中興米 | 論壇美工 | 設計 抗ddos | 天堂私服 | ddos | ddos | 防ddos | 防禦ddos | 防ddos主機 | 天堂美工 | 設計 防ddos主機 | 抗ddos主機 | 抗ddos | 抗ddos主機 | 抗攻擊論壇 | 天堂自動贊助 | 免費論壇 | 天堂私服 | 天堂123 | 台南清潔 | 天堂 | 天堂私服 | 免費論壇申請 | 抗ddos | 虛擬主機 | 實體主機 | vps | 網域註冊 | 抗攻擊遊戲主機 | ddos |