`
fanfanlovey
  • 浏览: 74064 次
  • 性别: Icon_minigender_1
  • 来自: 南京
社区版块
存档分类
最新评论

网站通过手动伪造URL参数进入系统

    博客分类:
  • JAVA
阅读更多
  最近项目中遇到一个bug,描述如下

    如上传文件右下角,用户可以通过链接,然后模拟链接复制进入。这样就可以伪造别人的数据进行非法操作,查看源代码发现采用的是直接<a>标签提交数据,本能第一反应是采用post提交,但是思前顾后。如果用户比较“聪明”的话通过查看源代码照样可以伪装,这样楼主我就苦逼的给领导批评了,由于时间紧迫,采用临时方法解决,方法虽然不是很好,但是能解决实际问题,记录下来以作为日志。大家如果有什么好的方法也可以共同交流。
  我采用的方法是对数据id进行加密,页面只显示数据的加密字段信息。方法如下:
   1、在数据PO中加入secretKey字段;
   2、每次后台查出数据时候调用固定加密算法(自己写也可以MD5)对id进行加密。页面上不保存id值,只显示加密值,页面展示时,对查询等操作传递加密值到后台进行解密,然后获取id等

结果如图所示,这样安全性高了很多。
  
    在网上看到许多关于此类问题的解决。感觉太烦琐不适合及时响应。也可能我经验不够,技术不够成熟,希望有好的方法的能共同交流,只有交流才能学得更多,呵呵~~
  • 大小: 33.5 KB
  • 大小: 12.4 KB
分享到:
评论

相关推荐

    Boost.URL是一个用于操作统一资源标识符(URI)和定位器(URL)的库。.zip

    2. **构建**: 通过提供API,开发者可以按需构建URL,例如设置特定的协议、主机或路径,而无需手动拼接字符串。这减少了潜在的错误,并提高了代码可读性。 3. **规范化**: 库提供URL规范化功能,确保URL遵循RFC 3986...

    网站扫描工具助手1.2

     分析网站扫描工具的方法,如注入、跨展、cookie伪造等。另外,就是跳过NTLM认证。  还有就是网站url地址过滤。  下面是主要特性说明:  1.记录URL地址:可以分析sql注入工具的探测语句,便于sql注入学习与手动...

    SQLMAP参数介绍.pdf

    通过灵活运用这些参数,SQLMAP可以帮助安全专业人员更高效地进行SQL注入测试,提高测试覆盖率,并确保对目标系统的全面评估。理解并熟练掌握这些功能和参数,对于提升渗透测试的效率和效果至关重要。

    拿网站的基本步骤

    同时也可以手动测试一些常见的漏洞,比如通过修改URL参数、表单提交等方式尝试触发漏洞。 3. **漏洞利用**:一旦发现可利用的漏洞,就需要根据具体情况选择合适的工具和技术进行攻击。例如,如果发现了SQL注入漏洞...

    BurpSuite手册-044-Target analyzer.pdf

    目标分析器(Target analyzer)是这些功能中的一个重要部分,它通过分析站点地图中的数据,展示出Web应用中静态和动态URL的数量,以及每个URL所需参数的统计。这一功能对于理解应用的复杂性和潜在的安全风险至关重要...

    WEB安全性测试测试用例.pdf

    恶意脚本通常通过用户输入(如表单、URL参数等)进入系统。文档中提及的“&lt;script type="text/javascript"&gt;alert()”、“style=background-image:url(javascript:alert('XSS'))”、“onmouseover=alert('hello');”...

    php fsockopen伪造post与get方法的详解

    此外,手动伪造HTTP请求可能会违反目标服务器的安全策略或法律法规,因此在使用这些技术时应确保遵循相关协议和规范。 总的来说,fsockopen是一个功能强大的PHP内置函数,它提供了底层的网络通信能力。通过本文的...

    第四节 Sqlmap 请求参数设置2-01

    然而,通过提供自定义用户代理作为选项的参数,可以使用选项 `--user-agent` 来伪造它。此外,通过 `--random-agent`,Sqlmap 将从 `./txt/user-agent` 中随机选择一个用于会话中的所有 HTTP 请求。 在实践中,有些...

    经典的PHP网站安全防御文章

    - 对所有URL参数进行验证和过滤。 - 使用白名单机制限制允许的操作。 #### 15. 表单提交欺骗攻击(Spoofed Form Submissions) **攻击原理**:攻击者伪造合法用户提交的表单数据。 **防御措施**: - 在表单中加入...

    web安全前端编码规范1

    - 对于URL参数,使用`encodeURIComponent`进行编码,并添加`ie=utf-8`声明编码格式。 四、安全最佳实践 1. 避免使用`document.write`和`location.href`组合,因为它们可能导致代码注入。 2. iframe的使用应谨慎,...

    网页刷花协议源码

    通过编写源码,我们可以控制发送请求的频率、URL、User-Agent等参数,从而模仿真实用户的浏览习惯。 首先,我们需要了解HTTP请求的基本结构。一个典型的HTTP请求包括请求行、请求头和请求体三部分。请求行包含方法...

    BurpSuite手册-049-Manual testing simulator.pdf

    17. **Manual Testing Simulator**:模拟手动渗透测试的流量,发送常见的测试载荷到选定的URL和参数。虽然不能完全代替实际的手动测试,但在某些情况下,它可以帮助创建看似真实的测试场景。 18. **Options**:设置...

    web跨站点脚本攻击方式和测试方法.doc

    这包括但不限于URL参数、表单字段、cookies、页面的AJAX交互等。同时,还需要考虑不同类型的XSS攻击,如存储型XSS(脚本被存储在服务器端,多次访问都会触发)、反射型XSS(脚本随URL一起传递,只在一次请求中有效)...

    Web开发.docx

    - `QueryString`:用于收集通过GET方法发送的数据,显示在URL中,安全性较低,但适合少量和非敏感数据。 - `Form`:用于收集POST方法发送的数据,隐藏在请求体中,适用于较大或敏感数据。 - `ServerVariable`:...

    paros web漏洞检测工具及使用说明

    3. 手动测试:对于自动扫描未覆盖到的部分,可以手动构造请求进行测试,例如通过“Paros Proxy”面板进行。 四、Paros的高级用法 1. 自定义扫描规则:你可以创建或导入自定义的扫描规则,以适应特定的应用场景。 2....

    Laravel Code Happy

    Laravel的路由系统允许开发者定义应用的URL模式以及相应的控制器动作,这部分在文档中通过“Advanced Routing”进行了深入讲解。它包括了路由闭包、重定向、命名路由、过滤器和路由组等高级特性。通过这些功能,...

    精通ASP.NET MVC 5及其源码

    3. **路由**:ASP.NET MVC 5 使用路由系统确定URL如何映射到控制器方法,允许自定义URL模式,提供更好的用户体验和SEO优化。 4. **视图**:使用Razor视图引擎编写HTML模板,结合C#语法,使视图更简洁。支持部分视图...

    web渗透知识图谱,超详解,渗透必学!.pdf

    SQL注入是一种攻击技术,攻击者通过在Web表单输入或URL查询字符串中插入恶意SQL代码,实现对数据库的查询或操作。在数据库长度、数据库名、表总数、表名、字段总数和字段内容等方面的查询是SQL注入的主要方式。修复...

    WEB扫描工具Acunetixwebvulneralityscanner使用说明参考.pdf

    如果遇到需要手动验证的情况,比如在没有登录的情况下扫描`demo.testfire.net`,用户可以通过HTTP Editor工具模拟攻击,例如在GET请求参数中插入恶意脚本,然后观察服务器的响应,以确认是否存在XSS漏洞。...

    SANGFOR_NGAF_V5.8_2015年度渠道高级认证培训02_常见攻击测试_2.ppt

    本地利用型涉及缓存或cookie篡改,反射型通过URL参数传播,存储型则将恶意脚本存储在服务器上,影响所有访问该页面的用户。 4. **SQL&XSS攻击测试** 在进行SQL和XSS攻击测试时,通常需要构建网络测试环境,使用...

Global site tag (gtag.js) - Google Analytics