`
fanfanlovey
  • 浏览: 75279 次
  • 性别: Icon_minigender_1
  • 来自: 南京
社区版块
存档分类
最新评论

网站通过手动伪造URL参数进入系统

    博客分类:
  • JAVA
阅读更多
  最近项目中遇到一个bug,描述如下

    如上传文件右下角,用户可以通过链接,然后模拟链接复制进入。这样就可以伪造别人的数据进行非法操作,查看源代码发现采用的是直接<a>标签提交数据,本能第一反应是采用post提交,但是思前顾后。如果用户比较“聪明”的话通过查看源代码照样可以伪装,这样楼主我就苦逼的给领导批评了,由于时间紧迫,采用临时方法解决,方法虽然不是很好,但是能解决实际问题,记录下来以作为日志。大家如果有什么好的方法也可以共同交流。
  我采用的方法是对数据id进行加密,页面只显示数据的加密字段信息。方法如下:
   1、在数据PO中加入secretKey字段;
   2、每次后台查出数据时候调用固定加密算法(自己写也可以MD5)对id进行加密。页面上不保存id值,只显示加密值,页面展示时,对查询等操作传递加密值到后台进行解密,然后获取id等

结果如图所示,这样安全性高了很多。
  
    在网上看到许多关于此类问题的解决。感觉太烦琐不适合及时响应。也可能我经验不够,技术不够成熟,希望有好的方法的能共同交流,只有交流才能学得更多,呵呵~~
  • 大小: 33.5 KB
  • 大小: 12.4 KB
分享到:
评论

相关推荐

    Boost.URL是一个用于操作统一资源标识符(URI)和定位器(URL)的库。.zip

    2. **构建**: 通过提供API,开发者可以按需构建URL,例如设置特定的协议、主机或路径,而无需手动拼接字符串。这减少了潜在的错误,并提高了代码可读性。 3. **规范化**: 库提供URL规范化功能,确保URL遵循RFC 3986...

    网站扫描工具助手1.2

     分析网站扫描工具的方法,如注入、跨展、cookie伪造等。另外,就是跳过NTLM认证。  还有就是网站url地址过滤。  下面是主要特性说明:  1.记录URL地址:可以分析sql注入工具的探测语句,便于sql注入学习与手动...

    SQLMAP参数介绍.pdf

    通过灵活运用这些参数,SQLMAP可以帮助安全专业人员更高效地进行SQL注入测试,提高测试覆盖率,并确保对目标系统的全面评估。理解并熟练掌握这些功能和参数,对于提升渗透测试的效率和效果至关重要。

    拿网站的基本步骤

    同时也可以手动测试一些常见的漏洞,比如通过修改URL参数、表单提交等方式尝试触发漏洞。 3. **漏洞利用**:一旦发现可利用的漏洞,就需要根据具体情况选择合适的工具和技术进行攻击。例如,如果发现了SQL注入漏洞...

    BurpSuite手册-044-Target analyzer.pdf

    目标分析器(Target analyzer)是这些功能中的一个重要部分,它通过分析站点地图中的数据,展示出Web应用中静态和动态URL的数量,以及每个URL所需参数的统计。这一功能对于理解应用的复杂性和潜在的安全风险至关重要...

    WEB安全性测试测试用例.pdf

    恶意脚本通常通过用户输入(如表单、URL参数等)进入系统。文档中提及的“&lt;script type="text/javascript"&gt;alert()”、“style=background-image:url(javascript:alert('XSS'))”、“onmouseover=alert('hello');”...

    php fsockopen伪造post与get方法的详解

    此外,手动伪造HTTP请求可能会违反目标服务器的安全策略或法律法规,因此在使用这些技术时应确保遵循相关协议和规范。 总的来说,fsockopen是一个功能强大的PHP内置函数,它提供了底层的网络通信能力。通过本文的...

    第四节 Sqlmap 请求参数设置2-01

    然而,通过提供自定义用户代理作为选项的参数,可以使用选项 `--user-agent` 来伪造它。此外,通过 `--random-agent`,Sqlmap 将从 `./txt/user-agent` 中随机选择一个用于会话中的所有 HTTP 请求。 在实践中,有些...

    经典的PHP网站安全防御文章

    - 对所有URL参数进行验证和过滤。 - 使用白名单机制限制允许的操作。 #### 15. 表单提交欺骗攻击(Spoofed Form Submissions) **攻击原理**:攻击者伪造合法用户提交的表单数据。 **防御措施**: - 在表单中加入...

    EDIDManager.zip

    例如,“更多精品绿色软件,免费资源大全高速下载.url”可能指向一个提供各种免费软件下载的资源网站,这些资源可能包括图形处理软件、系统优化工具等。但是,用户在下载和安装这些软件时也需格外小心,确保软件来源...

    web安全前端编码规范1

    - 对于URL参数,使用`encodeURIComponent`进行编码,并添加`ie=utf-8`声明编码格式。 四、安全最佳实践 1. 避免使用`document.write`和`location.href`组合,因为它们可能导致代码注入。 2. iframe的使用应谨慎,...

    Burp suite靶场SSRF练习(1)-持续更新中

    - 接下来,在产品的“检查库存”功能中进行抓包,观察到Stock API的URL参数。 - 利用发现的接口,通过修改参数值为"http://localhost/admin",实现对管理员界面的访问。 - 最终,将Stock API URL修改为删除指定...

    WEB扫描工具Acunetixwebvulneralityscanner使用说明参考.pdf

    如果遇到需要手动验证的情况,比如在没有登录的情况下扫描`demo.testfire.net`,用户可以通过HTTP Editor工具模拟攻击,例如在GET请求参数中插入恶意脚本,然后观察服务器的响应,以确认是否存在XSS漏洞。...

    网页刷花协议源码

    通过编写源码,我们可以控制发送请求的频率、URL、User-Agent等参数,从而模仿真实用户的浏览习惯。 首先,我们需要了解HTTP请求的基本结构。一个典型的HTTP请求包括请求行、请求头和请求体三部分。请求行包含方法...

    BurpSuite手册-049-Manual testing simulator.pdf

    17. **Manual Testing Simulator**:模拟手动渗透测试的流量,发送常见的测试载荷到选定的URL和参数。虽然不能完全代替实际的手动测试,但在某些情况下,它可以帮助创建看似真实的测试场景。 18. **Options**:设置...

    web跨站点脚本攻击方式和测试方法.doc

    这包括但不限于URL参数、表单字段、cookies、页面的AJAX交互等。同时,还需要考虑不同类型的XSS攻击,如存储型XSS(脚本被存储在服务器端,多次访问都会触发)、反射型XSS(脚本随URL一起传递,只在一次请求中有效)...

    Web开发.docx

    - `QueryString`:用于收集通过GET方法发送的数据,显示在URL中,安全性较低,但适合少量和非敏感数据。 - `Form`:用于收集POST方法发送的数据,隐藏在请求体中,适用于较大或敏感数据。 - `ServerVariable`:...

    在Razor视图中检查ReturnUrl

    当用户被重定向到登录页面时,这个URL会被包含在查询字符串中,以便用户成功登录后,系统可以将他们送回原先请求的页面。这样做提高了用户体验,因为用户不必手动回到他们最初想要访问的位置。 在Razor视图中,你...

    paros web漏洞检测工具及使用说明

    3. 手动测试:对于自动扫描未覆盖到的部分,可以手动构造请求进行测试,例如通过“Paros Proxy”面板进行。 四、Paros的高级用法 1. 自定义扫描规则:你可以创建或导入自定义的扫描规则,以适应特定的应用场景。 2....

    Laravel Code Happy

    Laravel的路由系统允许开发者定义应用的URL模式以及相应的控制器动作,这部分在文档中通过“Advanced Routing”进行了深入讲解。它包括了路由闭包、重定向、命名路由、过滤器和路由组等高级特性。通过这些功能,...

Global site tag (gtag.js) - Google Analytics