• <ruby id="5koa6"></ruby>
    <ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>
    

    <progress id="5koa6"></progress>
  • 

    <strong id="5koa6"></strong>
  • 

    


    
  	
  	
    
  		
      
  			
    • 軟件測試技術
      • 
  			
    • 軟件測試博客
      • 
  			
    • 軟件測試視頻
      • 
  			
    • 開源軟件測試技術
      • 
  			
    • 軟件測試論壇
      • 
  			
    • 軟件測試沙龍
      • 
  			
    • 軟件測試資料下載
      • 
  			
    • 軟件測試雜志
      • 
  			
    • 軟件測試人才招聘
      • 
  		
    
  	
    

    
  
  
  
  
    
  	
    

    
    
    
    
    
  	
    
  	
    


      
暫時沒有公告

    

    

  	
    
  
    
  

    


    

    

    
  		
  		
  		
    
  			
    
          
字號:    |
推薦給好友
 上一篇 |
下一篇
        
    
        
    ASP漏洞集-跨站Script攻擊和防范
    
        
    
          發布: 2007-7-14 19:37 |
作者: 佚名    |
來源: 
網絡轉載     |
查看: 12次 | 進入軟件測試論壇討論
        
    
        
    
        領測軟件測試網
              
     
    


    跨站Script攻擊和防范   
    第一部分:跨站Script攻擊
    每當我們想到黑客的時候,黑客往往是這樣一幅畫像:一個孤獨的人,悄悄進入別人的服務器中,進行破壞或者竊取別人的秘密資料。也許他會更改我們的主頁,甚者會竊
    取客戶的信用卡號和密碼。另外,黑客還會攻擊訪問我們網站的客戶。與此同時,我們的服務器也成了他的幫兇。微軟稱這種攻擊為“跨站script”攻擊。而這種攻擊大多
    數都發生在網站動態產生網頁的時侯,但黑客的目標并不是你的網站,而是瀏覽網站的客戶。
    跨站script攻擊的說明
      在一本名為<<ADVISORY CA--2000-02>>的雜志中,CERT警告大家:如果服務器對客戶的輸入不進行有效驗證,黑客就會輸入一些惡意的HTML代碼,當這些HTML代碼輸
    入是用于SCRIPT程序,他們就能利用它來進行破壞,如插入一些令人厭惡的圖片或聲音等,同時,也能干擾了客戶正確瀏覽網頁。
      我們知道,有些朋友曾經被誘導到一些可疑的免費網站,他們得到的僅僅是10到20個小的窗口,這些窗口常常伴隨著由JAVA 或 JAVASCRIPT生成的失效安鈕,這被稱
    為鼠標陷阱。關閉這些窗口是徒勞的,每當我們關閉一個窗口,又會有10幾個窗口彈出。這種情況常常發生在管理員沒在的時侯發生。鼠標事件是黑客利用跨站SCRIPT方法
    攻客戶的典型范例。
      惡意的標簽和SCRIPT不單純的惡作劇,他們甚至可以竊取資料和搗毀系統。一個聰明的甚至是不夠聰明的黑客都能夠使用SCRIPT干擾或者改變服務器數據的輸入。利用
    SCRIPT代碼也能攻擊客戶系統,讓你的硬盤盡損。而且你要知道,在你一邊使用服務器的時候,黑客的SCRIPT也正在你服務器里安全的地方運行著的呀!如果客戶對你的服
    務器非常信認,同樣他們也會信任那些惡意的SCRIPT代碼。甚至這個代碼是以〈SCRIPT〉或者〈OBJECT〉的形式來自黑客的服務器。  xker.com
      即使使用了防火墻(SSL)也不能防止跨站SCRIPT的攻擊。那是因為如果生成惡意SCRIPT代碼的設備也使用了SSL,我們服務器的SSL是不能辨別出這些代碼來的。我們
    難道就這樣把客戶曾經那么信任的網站拱手讓給黑客嗎?而且有這種破壞的存在,會讓你網站名譽盡損的。
    



    一、跨站SCRIPT攻擊示例:
      根據CERT的資料,動態輸入大致有這幾種形式:URL參數,表格元素,COOKISE以及數據請求。讓我們來分析一下,這個只有兩個頁面的網站,網站名為:
    MYNICESITE.COM。第一頁使用一張表格或COOKIE來獲取用戶名:
    <%@ Language=VBScript %>
    <% If Request.Cookies("userName") <> "" Then
    Dim strRedirectUrl
    strRedirectUrl = "page2.asp?userName="
    strRedirectUrl = strRedirectUrl & Response.Cookies("userName")
    Response.Redirect(strRedirectUrl)
    Else %>               xker.com<HTML>
    <HEAD>
    <TITLE>MyNiceSite.com Home Page</TITLE>
    </HEAD>
    <BODY>
    <H2>MyNiceSite.com</H2>
    <FORM method="post" action="page2.asp">
    Enter your MyNiceSite.com username:
    <INPUT type="text" name="userName">
    <INPUT type="submit" name="submit" value="submit">
    </FORM>
    </BODY>
    </HTML>
    <% End If %>
    


    第二頁返回用戶名以示歡迎:
    <%@ Language=VBScript %>
    <% Dim strUserName
    If Request.QueryString("userName")<> "" Then
    strUserName = Request.QueryString("userName")
    Else
    Response.Cookies("userName") = Request.Form("userName")
    strUserName = Request.Form("userName")
    End If %>
    <HTML>
    <HEAD></HEAD>
    <BODY>
    <H3 align="center">Hello: <%= strUserName %> </H3>
    本新聞共5頁,當前在第1頁  1  2  3  4  5  
    
          
        
          
            
            
    
            
    
              
    
                  
    延伸閱讀
    
      
    
                      
    
  
    
    

    
    
    
    
    		
    




  
    

    

                  
    
                
    
            
    
            
    

    文章來源于領測軟件測試網 http://www.kjueaiud.com/
    











    

        
    
        
    軟件測試論壇
    
  		
    
  		
  		
    
  			
    
  				
    領測軟件測試網最新更新
      				
    
  					
  				
    
  			
    
  			
    
  				
    軟件測試技術相關文章
      				
    
  					
  				
    
  			
    
  		
    
  		
  		
    

  		

    
  		

    

    

    


    


    

    軟件測試培訓信息
    

    


    

    

    



    

    最新軟件測試技術專題
    

    

    

    



    

    最新領測軟件測試網新聞
    

    


    

    


    
    
    
    

    


    

    軟件測試技術文章排行榜
    

      

    • 編輯推薦
      • 

    • 周排行
      • 

    • 月排行
      • 

    




    



    

    軟件測試技術分類最新內容
    


    

    


    
       

    

    

    
 

    

	

    

    
關于領測軟件測試網 | 領測軟件測試網合作伙伴 | 廣告服務 | 投稿指南 | 聯系我們 | 網站地圖 | 友情鏈接
    
版權所有(C) 2003-2010 TestAge(領測軟件測試網)|領測國際科技(北京)有限公司|軟件測試工程師培訓網 All Rights Reserved
    
北京市海淀區中關村南大街9號北京理工科技大廈1402室 京ICP備2023014753號-2
    
技術支持和業務聯系:info@testage.com.cn 電話:010-51297073
    

    

    


    
軟件測試 | 領測國際ISTQBISTQB官網TMMiTMMi認證國際軟件測試工程師認證領測軟件測試網

    


    

    


 








 
        



老湿亚洲永久精品ww47香蕉图片_日韩欧美中文字幕北美法律_国产AV永久无码天堂影院_久久婷婷综合色丁香五月

    • <ruby id="5koa6"></ruby>
    <ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>
    

    <progress id="5koa6"></progress>
  • 

    <strong id="5koa6"></strong>
  •