网站建设与前端开发(三)
亿网网站建设与前端开发(三)
- 作者:新网
- 来源:新网
- 浏览:100
- 2018-02-28 17:57:47
之前文章提到的所有攻击都是新手攻击者使用的,遵循好的编程实践可以帮助他们停止攻击。现在我们来看看技术先进的攻击,这在今天也很常见。
之前文章提到的所有攻击都是新手攻击者使用的,遵循好的编程实践可以帮助他们停止攻击。现在我们来看看技术先进的攻击,这在今天也很常见。
Cookie中毒 如前所述,cookie是驻留在浏览器中的小信息片段(在客户端计算机的硬盘驱动器上),并用于存储用户会话特定的信息。它是一个cookie,它能记住我们的购物车内容、我们的偏好和以前的登录信息,以便提供丰富的Web体验。 虽然篡改cookie并不是很容易,但是专业攻击者可以控制它并操纵其内容。 中毒是通过木马或病毒实现的,该病毒位于后台,并持续伪造cookies以收集用户的个人信息并将其发送给攻击者。 此外,病毒还可以改变cookie的内容,导致严重的问题,例如提交购物车内容,以便将购买的商品交付给黑客可访问的虚拟地址,或让浏览器连接到广告 服务器,这有助于攻击者获得资金等。如果会话信息存储在cookie中,专业攻击者可以访问它并窃取会话,从而导致中间人的攻击。 会话劫持 Web服务器同时与多个浏览器进行对话,以接收请求并交付所请求的内容。当每个连接被建立时,Web 服务器需要有一种方法来维护每个连接的唯一性。它使用会话令牌来生成动态生成的文本字符串,这些字符串包括IP地址、日期、时间等。 攻击者可以通过在网络上以编程方式或嗅探,或通过对受害者计算机执行客户端 脚本攻击来窃取该令牌。 一旦被盗,该令牌可用于创建假Web请求并窃取受害者用户的会话和信息。 URL查询字符串篡改 从 数据库服务器中提取数据并将其显示在网页上的 网站经常被发现在主URL中使用查询字符串。 例如,如果网站URL是// www.yiersan.cc /,它可以使用// www.yiersan.cc /showdata?field1=10&field2=15作为参数传递field1和field2,并将它们分别 值到数据库,结果输出以网页的形式提供给浏览器。