由于应用程序无法控制客户端,用户几乎可向服务器端应用程序提交任意输入。应用程序必须假设所有输入的信息都是恶意的输入,并必须采取措施确保攻击者无法使用专门设计的输入破坏应用程序,干扰其逻辑结构与行为,并最终达到非法访问其数据和功能的目的。
这个核心问题表现在许多方面。
- 用户可干预客户端与服务器间传送的所有数据,包括请求参数、cookie 和 HTTP 信息头。
- 用户可按任何顺序发送请求,并可在应用程序要求之外的不同阶段不止一次提交或根本不提交参数。用户的操作可能与开发人员对用户和应用程序交互方式做出的任何假设完全不同。
- 用户并不限于仅使用一种 Web 浏览器访问应用程序。大量各种各样的工具可以协助攻击 Web 应用程序,这些工具既可以整合在浏览器中,也可独立于浏览器动作。这些工具能够提出普通浏览器无法提交的请求,并能够迅速生成大量的请求,查找和利用安全问题达到自己的目的。
绝大多数针对 Web 应用程序的攻击都涉及向服务器提交输入,旨在引起一些应用程序设计者无法预料或不希望出现的事件。以下举例说明为实现这种目的而提交的专门设计的输入。
- 更改以隐藏的 HTML 表单字段提交的产品价格,以更低廉的价格欺诈性地购买产品。
- 修改在 HTTP cookie 中传送的会话令牌,劫持另一个验证用户的会话。
- 利用应用程序处理过程中的逻辑错误删除某些正常提交的参数。
- 改变由后端数据库处理的某个输入,从而注入一个恶意数据库查询以访问敏感数据。
勿庸置疑,SSL 无法阻止攻击者向服务器提交专门设计的输入。应用程序使用 SSL 仅仅表示网络上的其他用户无法查看或修改攻击都传送的数据。因为攻击者控制着 SSL 通道的终端,能够通过这条通道向服务器传送任何内容。如果前面提到的任何攻击成功实现,那么不论其在 FAQ 中声称其如何安全,该应用程序都很容易受到攻击。
相关推荐
深入体验Java Web开发内幕——核心基础 深入体验Java Web开发内幕——核心基础
《Web前端设计基础——HTML5、CSS3、JavaScript》张树明版前十章课后习题答案
Java Web开发实践教程——从设计到实现(第2版)(2013年)一书的PPT。
java web4j框架——fish,java web4j框架——fish
张孝祥 老师的经典力作!!! 清晰的PDF电子书《深入体验Java_Web开发内幕-核心基础》——地球人都知道,呵呵。。
Web答案.doc————电子版_doc版
web网页测试工具——httpwatch,附带操作手册,帮助理解使用
Web架构——MVC Web架构——MVC Web架构——MVC Web架构——MVC
资源名称:零成本实现 Web 性能测试——基于Apache JMeter内容简介:《零成本实现Web性能测试:基于Apache JMeter》是一本关于Web性能测试的实战书籍,读者朋友们在认真阅读完《零成本实现Web性能测试:基于Apache ...
"WEB数据库开发工具——WEB.SQL及其应用" WEB.SQL 是 Sybase 公司推出的中间件产品,用于实现 Web 服务器与数据库服务器之间的互联。它允许用户在 HTML 页面中插入 SQL 数据库命令和 Perl 脚本,从而实现动态生成...
Web程序设计——ASP.NET网站开发——PPT+Web程序设计——ASP.NET网站开发——源代码
JBoss部署Web Project时的问题——请刷新
遵循 Web 标准可以提高网站的访问速度、降低网站流量费用、提高搜索引擎优化等。 三、HTML 语言 HTML 是一种超文本标签语言,用于描述网页的结构和内容。HTML 不是一种编程语言,而是一种标志语言,使用标签来描述...
Web应用随着互联网模式的蓬勃应用而越来越成为轻客户端的首选,而同时随着越来越多的Web应用的普及和发展,安全问题也愈加受到各个厂商和互联网公司的重视。但所谓“解铃还需系铃人”,coding的问题终究还需要coder...
超棒的web应用技术课程设计——在线影评系统.pdf超棒的web应用技术课程设计——在线影评系统.pdf超棒的web应用技术课程设计——在线影评系统.pdf超棒的web应用技术课程设计——在线影评系统.pdf超棒的web应用技术...
超棒的web应用技术课程设计——在线影评系统.docx超棒的web应用技术课程设计——在线影评系统.docx超棒的web应用技术课程设计——在线影评系统.docx超棒的web应用技术课程设计——在线影评系统.docx超棒的web应用...
C# Web服务高级编程——使用.NET Remoting和ASP.NET创建Web服务 源代码
《Delphi Web前端开发教程——基于TMS WEB Core框架》PDF本教程适合对使用Delphi TMS WEB Core 创建 Web 应用程序感兴趣的初学者和高级开发人员。学习本教程只需要免费的 Delphi 社区版以及 TMS WEB Core 的试用版就...
安全测试常用工具扫描进行,本次讲解内容是针对手动安全测试,包括常见关注点,三大漏洞:sql注入,xss攻击,文件上传漏洞等内容,可以方便测试人员在平时测试时就能手动测试安全问题