网站建设与前端开发（二）

时间:2021-07-16 | 标签: | 作者:Q8 | 来源:网络

小提示：您能找到这篇{网站建设与前端开发（二）}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的网站建设与前端开发（二）内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

通常，在Web门户的情况下，用户会得到一个ID和一个密码来登录并执行某些功能。门户管理人员也为维护和数据管理提供了自己的凭证。如果Web服务和应用程序不是从编码的角度设计的，那么就可以利用它们来获得更高的特权。

例如，如果Web服务器未使用最新的安全修补程序进行修补，这可能导致远程代码执行，攻击者可能会编写一个脚本来利用该漏洞，并访问服务器并远程控制它。在某些情况下，可能会发生这种情况，因为没有遵循最佳的编码和安全实践，在安全配置中留下空白，并使Web解决方案容易受到攻击。

表单输入无效

许多网站使用由网站用户填写的表单，并提交给服务器。然后，服务器验证输入并将其保存到数据库。验证过程有时委托给客户端浏览器或数据库服务器。如果这些验证不够强大或没有正确编程，他们可能会留下可以被攻击者利用的安全漏洞。

例如，如果一个字段如PAN号码是强制性的，并且如果重复条目的验证不能正确完成，则攻击者可以用伪PAN号码以编程方式提交表单，从而以假条目填充数据库。这最终可以帮助攻击者种植宠物宣传海报拒绝服务(DoS)攻击，只需查询页面，询问不存在的条目。

代码挖掘

虽然这与之前的漏洞有点类似，但在破解它的方式上有一些不同。通常，程序员在为各种用户输入设置限制时，会做出假设。典型的例子是用户名不应该超过50个字符，或者数字值永远是正数，等等。

从安全的观点来看，这些假设是危险的，因为骇客可以利用它们。例如，通过填充具有100个字符的名称字段，从而对数据集施加压力，或者通过在数值字段中提供负整数来创建不正确的计算结果。