本月博客排行
-
第1名
wy_19921005 -
第2名
mft8899 -
第3名
java-007 - benladeng5225
- Anmin
年度博客排行
-
第1名
龙儿筝 -
第2名
宏天软件 -
第3名
benladeng5225 - wy_19921005
- vipbooks
- kaizi1992
- 青否云后端云
- e_e
- tanling8334
- sam123456gz
- arpenker
- zysnba
- fantaxy025025
- xiangjie88
- lemonhandsome
- wallimn
- ganxueyun
- jh108020
- Xeden
- xyuma
- zhanjia
- wangchen.ily
- johnsmith9th
- zxq_2017
- forestqqqq
- jbosscn
- daizj
- xpenxpen
- 喧嚣求静
- kingwell.leng
- lchb139128
- kristy_yy
- jveqi
- javashop
- lzyfn123
- sunj
- yeluowuhen
- ajinn
- lerf
- silverend
- chenqisdfx
- xiaoxinye
- flashsing123
- bosschen
- lyndon.lin
- zhangjijun
- sunnylocus
- lyj86
- paulwong
- sgqt
最新文章列表
网站通过手动伪造URL参数进入系统
最近项目中遇到一个bug,描述如下
如上传文件右下角,用户可以通过链接,然后模拟链接复制进入。这样就可以伪造别人的数据进行非法操作,查看源代码发现采用的是直接<a>标签提交数据,本能第一反应是采用post提交,但是思前顾后。如果用户比较“聪明”的话通过查看源代码照样可以伪装,这样楼主我就苦逼的给领导批评了,由于时间紧迫,采用临时方法解决,方法虽然不是很好,但是能解决实际问题 ...