天博·（中国）官方网站

网站建设与前端开发（二）

　　通常，在Web门户的情况下，用户会得到一个ID和一个密码来登录并执行某些功能。门户管理人员也为维护和数据管理提供了自己的凭证。如果Web服务和应用程序不是从编码的角度设计的，那么就可以利用它们来获得更高的特权。

例如，如果Web服务器未使用最新的安全修补程序进行修补，这可能导致远程代码执行，攻击者可能会编写一个脚本来利用该漏洞，并访问服务器并远程控制它。在某些情况下，可能会发生这种情况，因为没有遵循最佳的编码和安全实践，在安全配置中留下空白，并使Web天博·（中国）官方网站容易受到攻击。

表单输入无效

许多网站使用由网站用户填写的表单，并提交给服务器。然后，服务器验证输入并将其保存到数据库。验证过程有时委托给客户端浏览器或数据库服务器。如果这些验证不够强大或没有正确编程，他们可能会留下可以被攻击者利用的安全漏洞。

例如，如果一个字段如PAN号码是强制性的，并且如果重复条目的验证不能正确完成，则攻击者可以用伪PAN号码以编程方式提交表单，从而以假条目填充数据库。这最终可以帮助攻击者种植拒绝服务(DoS)攻击，只需查询页面，询问不存在的条目。

代码挖掘

虽然这与之前的漏洞有点类似，但在破解它的方式上有一些不同。通常，程序员在为各种用户输入设置限制时，会做出假设。典型的例子是用户名不应该超过50个字符，或者数字值永远是正数，等等。

从安全的观点来看，这些假设是危险的，因为骇客可以利用它们。例如，通过填充具有100个字符的名称字段，从而对数据集施加压力，或者通过在数值字段中提供负整数来创建不正确的计算结果。

免责声明：本文内容由互联网用户自发贡献自行上传，本网站不拥有所有权，也不承认相关法律责任。如果您发现本社区中有涉嫌抄袭的内容，请发送邮件至：operations@xinnet.com进行举报，并提供相关证据，一经查实，本站将立刻删除涉嫌侵权内容。