freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

web編程安全-全文預(yù)覽

2025-03-26 22:05 上一頁面

下一頁面
  

【正文】 。 該數(shù)字的平方為: 144HR form action= method=post input type=hidden name=number value=12 input type=submit value=到達(dá) formP2 /form 問題 該隱藏表單中隱藏的內(nèi)容非常直觀, 可以從客戶端源代碼中看到學(xué)號(hào)和課程編號(hào) ,因此,給了攻擊者機(jī)會(huì),攻擊者可以在客戶端通過修改源代碼來修改任意學(xué)生的成績(jī):如將客戶端源代碼改為: 就可以修改 0016學(xué)生的語文成績(jī)了!同樣,更為嚴(yán)重的問題是,如果網(wǎng)站足夠不安全的話,攻擊者可以不用登陸,隨意設(shè)計(jì)表單來訪問你的頁面。 該方法有如下問題: 1:和 URL方法類似,該方法傳輸?shù)臄?shù)據(jù), 也只能是字符串,對(duì)數(shù)據(jù)類型具有一定限制; 2:傳輸數(shù)據(jù)的值雖然可以保證在瀏覽器地址欄內(nèi)不被看到,但是在 客戶端源代碼里面也會(huì)被看到 。 于是 formP1代碼可以改為 運(yùn)行,效果為: 傳的值就被隱藏起來了。如下界面: 可以通過鏈接來刪除學(xué)生。如上例子,當(dāng)點(diǎn)擊了鏈接到達(dá) ,瀏覽器地址欄上的地址變?yōu)椋? number的值可以被人看到。 這四種方法各有特點(diǎn),各有安全性,本節(jié)將對(duì)其進(jìn)行分析。 ? 問題的關(guān)鍵在于頁面 1中的數(shù)據(jù)如何提交,頁面 2中的數(shù)據(jù)如何獲得。 a href=查看 /a 3 頁面狀態(tài)值安全 我們知道, HTTP是無狀態(tài)的協(xié)議。這樣編寫導(dǎo)致該學(xué)校網(wǎng)站為 URL操作攻擊敞開了大門。 注意,前面的步驟中,點(diǎn)擊“王?!庇疫叺摹安榭础辨溄訒r(shí),用于學(xué)生“王?!睆臄?shù)據(jù)庫(kù)獲取數(shù)據(jù)的 URL為: 因?yàn)橥鹾5膶W(xué)號(hào)為 0035,所以,從客戶端源代碼上講,“王?!庇疫叺摹安榭础辨溄涌雌饋硎沁@樣的: 該 URL非常直觀,可以從中看到是獲取 stuno為 0035的數(shù)據(jù),因此,給了攻擊者機(jī)會(huì), 你可以很容易嘗試將如下 URL輸入到地址欄中: 表示命令數(shù)據(jù)庫(kù)查詢學(xué)號(hào)為 0001的學(xué)生信息,當(dāng)然,可能剛開始的嘗試或許得不到結(jié)果 (該學(xué)號(hào)可能不存在 ),但是經(jīng)過足夠次數(shù)的嘗試,總可以給攻擊者得到結(jié)果的機(jī)會(huì)。 2:登錄成功后,教師會(huì)看到下圖所示的 wele界面, 該頁面中,首先從 session中獲取登陸用戶名,然后結(jié)合兩個(gè)表進(jìn)行查詢,得到班級(jí)學(xué)生姓名,在列表中,顯示了該教師所在班級(jí)的學(xué)生;后面的鏈接負(fù)責(zé)將該學(xué)生的學(xué)號(hào)傳給 。 URN也是 URI的一個(gè)子集。 以下是一個(gè)典型的 URL例子: 可以看出, URI一般由 3把部分組成: ? ?? 訪問資源的命名機(jī)制 (協(xié)議 ): ,實(shí)際上還有可能是 ftp等; ? ?? 存放資源的主機(jī)名: localhost:8080; ? ?? 資源自身的名稱,由路徑表示: /Prj08/; ? ?? 其他信息,如查詢字符串等: ?username=guokehua。 JavaScript編寫的程序在運(yùn)行前不必編譯,客戶端瀏覽器可以直接來解釋執(zhí)行 JavaScript。 JSP具備了 Java技術(shù)面向?qū)ο?,平臺(tái)無關(guān)性且安全可靠的優(yōu)點(diǎn),值得一提的是,眾多大公司都支持 JSP技術(shù)的服務(wù)器,如 IBM、 Oracle公司等,使得 JSP在商業(yè)應(yīng)用的開發(fā)方面成為一種流行的語言。 ? 3: JSP(Java Server Pages)。 ? 2: PHP(PHP:Hypertext Preprocessor)。 CGI全稱是“公共網(wǎng)關(guān)接口”,其程序須運(yùn)行在服務(wù)器端。 了解了什么是 Web程序,我們?cè)賮砩钊肓私庖幌?Web技術(shù)的相關(guān)特點(diǎn)。 Web運(yùn)行的原理 Web程序在架構(gòu)上屬于 B/S(瀏覽器 /服務(wù)器 )模式。Web編程安全 第 8章 1 Web概述 Web系統(tǒng) Web是目前比較流行的軟件編程方法之一 , 也是 B/S模式的一種實(shí)現(xiàn)方式 , 由于 Web編程的方法和傳統(tǒng) C/S程序的不相同 ,因此 , Web編程中的安全問題也具有其特殊性 。 應(yīng)該指出的是 , 本講所列舉的并不是 Web編程安全的全部?jī)?nèi)容 , 只是講述了一些常見的安全問題 。 由于 B/S結(jié)構(gòu)的優(yōu)點(diǎn),現(xiàn)在的網(wǎng)絡(luò)應(yīng)用系統(tǒng)中, B/S系統(tǒng)占絕對(duì)主流地位。 Web編程 可以說,不同的 Web編程語言都對(duì)應(yīng)著不同的 Web編程方式,目前常見的應(yīng)用于 Web的編程語言主要有以下幾種: ? 1: CGI(Common Gateway Interface)。早期有很多 Web程序用 CGI編寫,但是由于其性能較低 (如對(duì)多用戶的請(qǐng)求采用多進(jìn)程機(jī)制 )和編程復(fù)雜,目前使用較少。 PHP執(zhí)行效率比 CGI要高許多;另外,它支持幾乎所有流行的數(shù)據(jù)庫(kù)以及操作系統(tǒng)。和 PHP一樣, JSP開發(fā)的 Web應(yīng)用也是跨平臺(tái)的,另外, JSP還支持自定義標(biāo)簽。 ?5: JavaScript JavaScript是一種基于對(duì)象和事件驅(qū)動(dòng)的腳本語言,主要運(yùn)行于客戶端。 URL(Uniform Resoure Locator:統(tǒng)一資源定位器 ),是 Inter上用來描述信息資源的字符串,可以幫助計(jì)算機(jī)來定位這些 Web上可用資源。 另外還有一個(gè)概念是 URN(Uniform Resource Name, 統(tǒng)一資源名稱 ): 也用來標(biāo)識(shí) Inter上的資源,但是通過使用一個(gè)獨(dú)立于位置的名稱來實(shí)現(xiàn)。 系統(tǒng)中有一個(gè)學(xué)生表: 還有一個(gè)教師表: 系統(tǒng)流程如下: 1:首先呈現(xiàn)給教師的是登錄頁面,如: 該表單將用戶的賬號(hào)和密碼提交給一個(gè)控制器,控制器訪問數(shù)據(jù)庫(kù),如果通過驗(yàn)證,則將用戶信息存放在 session內(nèi),跳到 wele頁面。 表面上看上去,該程序沒有任何問題。 更有甚者,如果網(wǎng)站足夠不安全的話,攻擊者可以不用登陸,直接輸入上面格式的 URL(如 將信息顯示出來。這樣,攻擊者單獨(dú)輸入學(xué)號(hào),或者輸入學(xué)號(hào)和未登錄的用戶名,都無法顯示結(jié)果。 Web頁面之間傳遞數(shù)據(jù),是 Web程序的重要功能,其流程如圖 83所示:
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1