正文內(nèi)容

程序代碼注入ppt課件-資料下載頁

2025-05-12 12:41本頁面

　　

【正文】 ator。 ? Java的 xssprotect 。 ? 在一些關(guān)鍵功能，完全不能信任 cookie，必需要用戶輸入口令。如：修改口令，支付，修改電子郵件，查看用戶的敏感信息等等。 ? 限制 cookie的過期時間。 ? 對于 CRSF攻擊，一是需要檢查的 reference header。二是不要使用 GET方法來改變數(shù)據(jù)，三是對于要提交的表單，后臺動態(tài)生成一個隨機(jī)的 token，這個 token是攻擊者很難偽造的。（對于 token的生成，建議找一些成熟的 lib庫） ? 另外，你可能覺得網(wǎng)站在處理用戶的表單提交就行了，其實不是，想一想那些 Web Mail，我可以通過別的服務(wù)器向被攻擊用戶發(fā)送有 JS代碼、圖片、 Flash的郵件到你的郵箱，你打開一看，你就中招了。所以， WebMail一般都禁止顯示圖片和附件，這些都很危險，只有你完全了解來源的情況下才能打開。電子郵件的 SMTP協(xié)議太差了，基本上無法校驗其它郵件服務(wù)器的可信度，我甚至可以自己建一個本機(jī)的郵件服務(wù)器，想用誰的郵件地址發(fā)信就用誰的郵件地址發(fā)信。所以，我再次真誠地告訴大家，請用 gmail郵箱。別再跟我說什么 Mail之類的好用了。上傳文件 ? 上傳文件是一個很危險的功能，尤其是你如果不校驗上傳文件的類型的話，你可能會中很多很多的招，這種攻擊相當(dāng)狠。試想，如果用戶上傳給你一個 PHP、 ASP、 JSP的文件，當(dāng)有人訪問這個文件時，你的服務(wù)器會解釋執(zhí)行之，這就相當(dāng)于他可以在你的服務(wù)器上執(zhí)行一段程序。這無疑是相當(dāng)危險的。 ? 舉個例子： ? form action= method=post enctype=multipart/formdata 要上傳的文件 : input type=file name=filename/ br/ input type=submit name=submit value=Submit/ /form$target = pictures/ . basename($_FILES[39。uploadedfile39。][39。name39。])。 if(move_uploaded_file($_FILES[39。uploadedfile39。][39。tmp_name39。], $target)){ echo 圖片文件上傳成功。 }else{/div echo 圖片文件上傳失敗。 }假如我上傳了一個 PHP文件如下： ? ?php system($_GET[39。cmd39。])。 ?那么，我就可以通過如下的 URL訪問攻擊你的網(wǎng)站了： ? 抵御的 2種手段 ? 1）限制上傳文件的文件擴(kuò)展名。 ? 2）千萬不要使用 root或 Administrator來運行你的 Web應(yīng)用。 ? URL跳轉(zhuǎn) ? URL跳轉(zhuǎn)很有可能會成為攻擊利用的工具。 ? 比如下面的 PHP代碼： ? $redirect_url = $_GET[39。url39。]。 header(Location: . $redirect_url)。這樣的代碼可能很常見，比如當(dāng)用戶在訪問你的網(wǎng)站某個頁觀的時候沒有權(quán)限，于是你的網(wǎng)站跳轉(zhuǎn)到登錄頁面，當(dāng)然登錄完成后又跳轉(zhuǎn)回剛才他訪問的那個頁面。一般來說，我們都會在跳轉(zhuǎn)到登錄頁面時在 URL里加上要被跳轉(zhuǎn)過去的網(wǎng)頁。于是會出現(xiàn)上述那樣的代碼。 ? 于是我們就可以通過下面的 URL，跳轉(zhuǎn)到一個惡意網(wǎng)站上，而那個網(wǎng)站上可能有一段CSRF的代碼在等著你，或是一個釣魚網(wǎng)站。 ? 于，用戶看到的以為是一個合法網(wǎng)站，于是就點了這個鏈接，結(jié)果通過這個合法網(wǎng)站，把用戶帶到了一個惡意網(wǎng)站，而這個惡意網(wǎng)站上可能把頁面做得跟這個合法網(wǎng)站一模一樣，你還以為訪問的是正確的地方，結(jié)果就被釣魚了。 ? 解決這個問題很簡單，你需要在你的后臺判斷一下傳過來的 URL的域名是不是你自己的域名。 ? 你可以看看 Google和 Baidu搜索引擎的鏈接跳轉(zhuǎn)，百度的跳轉(zhuǎn)鏈接是被加密過的，而Google的網(wǎng)站鏈接很長，里面有網(wǎng)站的明文，但是會有幾個加密過的參數(shù)，如果你把那些參數(shù)移除掉， Google會顯示一個重定向的提醒頁面。（我個人覺得還是 Google做得好）謝謝觀看！ ? 更多詳情

點擊復(fù)制文檔內(nèi)容

教學(xué)課件相關(guān)推薦

天狼星51avr課上程序代碼-資料下載頁

【總結(jié)】51篇51單片機(jī)第二十課PS2鍵盤鍵值解碼所屬類別:課程代碼發(fā)布日期:2011-03-05點擊量:383#include#defineucharunsignedchar#defineuintunsignedintsbitpsdata=P3^0;sbitpsclk=P3^2;ucharnumbit;

2025-08-17 10:45

農(nóng)業(yè)企業(yè)網(wǎng)站設(shè)計程序代碼-資料下載頁

【總結(jié)】程序代碼meta-equiv="Content-Type"content="

2025-07-07 12:54

aspnet中程序構(gòu)架與程序代碼的分離-資料下載頁

【總結(jié)】論文圖書館手機(jī)鈴聲下載網(wǎng)站優(yōu)化網(wǎng)站推廣免費論文下載職稱論文下載中程序構(gòu)架與程序代碼的分離發(fā)布時間：2020-5-27作者：秩名一年前，當(dāng)本人拿到一個名叫TWIG的PHP程序時，立即被作者OOP編程思想所折服，很難想像TWIG中所有的功能（行事歷、郵件、個性化）均在一個PHP文件()中執(zhí)行完成，這就得益于作者采

2025-08-12 10:21

[計算機(jī)]俄羅斯方塊程序代碼-資料下載頁

【總結(jié)】//包含頭文件#include#include#include#include#include#include""http://intscore=0;//intlever=1;//charscores[10];//charlevers[10];/*

2025-08-17 04:15

眼科醫(yī)院病床安排含程序代碼docdoc-資料下載頁

【總結(jié)】高教社杯全國大學(xué)生數(shù)學(xué)建模競賽承諾書我們仔細(xì)閱讀了中國大學(xué)生數(shù)學(xué)建模競賽的競賽規(guī)則.我們完全明白，在競賽開始后參賽隊員不能以任何方式（包括電話、電子郵件、網(wǎng)上咨詢等）與隊外的任何人（包括指導(dǎo)教師）研究、討論與賽題有關(guān)的問題。我們知道，抄襲別人的成果是違反競賽規(guī)則的,如果引用別人的成果或其他公開的資料（包括網(wǎng)上查到的資料），必須按照規(guī)定的參考文獻(xiàn)的表述方式在正

2025-07-18 12:53

注入剖面ppt課件-資料下載頁

【總結(jié)】注入剖面測量原理同位素示蹤注入剖面測井信息處理注入剖面綜合分析注蒸汽剖面測量注聚合物剖面測量第八章注入剖面測井1950~1970年，主要采用井溫法定性確定注水剖面，之后采用渦輪流量計和放射性同位素示蹤測井測注水剖面資料，三十多年的實踐證明，示蹤測井是確定注水剖面

2025-01-14 23:59

個人入侵檢測系統(tǒng)的實現(xiàn)(含源程序代碼)-資料下載頁

【總結(jié)】源程序代碼等全套設(shè)計聯(lián)系QQ174320523各專業(yè)都有分類號：TP393UDC：D10621-408-(2021)5862-0密級：公開編號：2021031288成都信息工程學(xué)院學(xué)位論文個人

2024-12-04 01:13

c語言通訊錄管理系統(tǒng)程序代碼doc-資料下載頁

【總結(jié)】------------------------------------------------------------------------------------------------------------計科1001賴祥燃一、課程設(shè)計題目及要求題目通訊錄管理系統(tǒng)任務(wù)：自學(xué)C語言中相關(guān)知識，設(shè)計出通訊錄管理系統(tǒng)。要求如下所述：u建立通訊錄信

2025-08-16 19:55

離子注入ppt課件-資料下載頁

【總結(jié)】集成電路制造技術(shù)第四章離子注入西安電子科技大學(xué)微電子學(xué)院戴顯英2022年9月本章主要內(nèi)容?離子注入特點?離子注入設(shè)備原理?離子注入機(jī)理?離子注入分布?離子注入損失?注入退火?離子注入與熱擴(kuò)散對比離子注入特點?定義:將帶電的、且具有能量的

2025-05-02 05:03

注入工藝講義ppt課件-資料下載頁

【總結(jié)】注入工藝講義一、注水組的工作注水組主要負(fù)責(zé)注入井作業(yè)施工設(shè)計的制定、作業(yè)施工的監(jiān)督管理工作，同時負(fù)責(zé)與注入工藝相關(guān)的新技術(shù)的研究與推廣。注水組的工作量比較大，每年作業(yè)施工設(shè)計的數(shù)量約為600井次，現(xiàn)場監(jiān)督率40%，重點工序及重點井的現(xiàn)場監(jiān)督率100%。在科研方面，先后完成了長膠筒封隔器、聚驅(qū)偏心配注器

2025-01-04 16:15

考勤管理系統(tǒng)的設(shè)計與實現(xiàn)(含源程序代碼)-資料下載頁

【總結(jié)】源程序代碼等全套設(shè)計聯(lián)系QQ174320523各專業(yè)都有分類號：TP315UDC：D10621-408-(2021)5807-0密級：公開編號：2021031236考勤管理系統(tǒng)的設(shè)計與實現(xiàn)

2024-12-06 00:50

給公司注入軍魂ppt課件-資料下載頁

【總結(jié)】給公司注入“軍魂”張振龍向部隊學(xué)習(xí)執(zhí)行文化的建設(shè)之道?給公司注入軍魂，讓員工具有奉獻(xiàn)精神，從而樹立與公司共命運的整體價值觀。?給公司注入軍魂，讓員工養(yǎng)成團(tuán)隊口令一致，行動一致的鐵的紀(jì)律。?給公司注入軍魂，讓員工樹立服從管理、忠于公司的堅定信念。?給公司注入軍魂，促進(jìn)全體員工和第一線人員始終以軍人的戰(zhàn)斗姿態(tài)投

2025-05-12 13:11

離子注入ppt課件(2)-資料下載頁

【總結(jié)】第八章：離子注入摻雜技術(shù)之二引言?離子注入的概念：離子注入是在高真空的復(fù)雜系統(tǒng)中，產(chǎn)生電離雜質(zhì)并形成高能量的離子束，入射到硅片靶中進(jìn)行摻雜的過程。束流、束斑?高能離子轟擊（氬離子為例）1.離子反射（能量很?。?.離子吸附（10eV）3.濺射（~5keV）

2025-05-04 08:07

畢業(yè)設(shè)計基于單片機(jī)的智能數(shù)字鬧鐘程序代碼-資料下載頁

【總結(jié)】姚輝虎的畢業(yè)設(shè)計--基于單片機(jī)的智能數(shù)字鬧鐘程序代碼程序代碼160。includeincludeinclude160。160。unsignedcharclock_data[4]。sbitspeaker160。=P2^4。//160。蜂鳴器sbitbell=P2^2。160。160。//鈴響bitbell_on=0

2025-06-22 12:04

windows進(jìn)程管理工具設(shè)計與實現(xiàn)(有源程序代碼-資料下載頁

【總結(jié)】Windows進(jìn)程管理工具設(shè)計與實現(xiàn)(有源程序代碼)源程序代碼等全套設(shè)計聯(lián)系174320523各專業(yè)都有分類號:DC:D10621-408-20205906-0密級:公開編號:2020031235成都信息工程學(xué)院學(xué)位論文Windows進(jìn)程管理工具

2024-11-16 17:10