freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

08web編程安全-文庫吧資料

2025-01-29 13:40本頁面
  

【正文】 session是不同的。例如,用戶在訪問網(wǎng)站時(shí),session就是指從用戶登入站點(diǎn)到到關(guān)閉瀏覽器所經(jīng)過的這段過程。如果在不考慮服務(wù)器負(fù)載的情況下, 將數(shù)據(jù)保存在服務(wù)器端,是一個(gè)較好的方案,這就是 session方法 。如圖所示: ? 4:禁用 Cookie。要?jiǎng)h除一個(gè)已經(jīng)存在的 Cookie,有以下幾種方法: ? 給一個(gè) Cookie賦以空置; ? 設(shè)置 Cookie的失效時(shí)間為當(dāng)前時(shí)間,讓該 Cookie在當(dāng)前頁面的瀏覽完之后就被刪除了; ?通過瀏覽器刪除 Cookie。 解決 Cookie安全的方法有很多,常見的有以下幾種: ? 1:替代 cookie。 很明顯, Cookie也不是絕對(duì)安全的。在本例中,內(nèi)容被保存在Cookie文件,如果使用的是 windows XP, C盤是系統(tǒng)盤,該文件保存在:C:\Documents and Settings\當(dāng)前用戶名 \Cookies下。 但是就此也不能說 Cookie是完全安全的。 運(yùn)行,顯示結(jié)果為: 頁面上有一個(gè)鏈接到達(dá) 點(diǎn)擊 cookieP1中的鏈接,到達(dá) cookieP2,效果為: 也能夠得到結(jié)果。 不同的語言中對(duì) Cookie有不同的操作方法,下面以 JSP為例,來編寫代碼。 Cookie方法 基于這個(gè)原理,上面的例子可以用 Cookie來進(jìn)行。服務(wù)器端可以對(duì)該 Cookie進(jìn)行讀取并驗(yàn)證 (當(dāng)然也可以不讀取 )。Cookie是一個(gè)小的文本數(shù)據(jù),由服務(wù)器端生成,發(fā)送給客戶端瀏覽器,客戶端瀏覽器如果設(shè)置為啟用 cookie,則會(huì)將這個(gè)小文本數(shù)據(jù)保存到其某個(gè)目錄下的文本文件內(nèi)。 該數(shù)字的平方為: 144HR form action= method=post input type=hidden name=number value=12 input type=submit value=到達(dá) formP2 /form 問題 該隱藏表單中隱藏的內(nèi)容非常直觀, 可以從客戶端源代碼中看到學(xué)號(hào)和課程編號(hào) ,因此,給了攻擊者機(jī)會(huì),攻擊者可以在客戶端通過修改源代碼來修改任意學(xué)生的成績(jī):如將客戶端源代碼改為: 就可以修改 0016學(xué)生的語文成績(jī)了!同樣,更為嚴(yán)重的問題是,如果網(wǎng)站足夠不安全的話,攻擊者可以不用登陸,隨意設(shè)計(jì)表單來訪問你的頁面。因此,從保密的角度講,這也是不安全的。 該方法有如下問題: 1:和 URL方法類似,該方法傳輸?shù)臄?shù)據(jù), 也只能是字符串,對(duì)數(shù)據(jù)類型具有一定限制; 2:傳輸數(shù)據(jù)的值雖然可以保證在瀏覽器地址欄內(nèi)不被看到,但是在 客戶端源代碼里面也會(huì)被看到 。 解決該問題的方法是將 form的 action屬性設(shè)置為 post(默認(rèn)為 get)。 于是 formP1代碼可以改為 運(yùn)行,效果為: 傳的值就被隱藏起來了。 表單傳值 上面舉的例子,通過 URL方法,傳遞的數(shù)據(jù)可能被看到。如下界面: 可以通過鏈接來刪除學(xué)生。 特別是秘密性要求很嚴(yán)格的數(shù)據(jù) (如密碼 ),不應(yīng)該用 URL方法來傳值。如上例子,當(dāng)點(diǎn)擊了鏈接到達(dá) ,瀏覽器地址欄上的地址變?yōu)椋? number的值可以被人看到。此處 urlP2代碼為: 點(diǎn)擊 ,到達(dá) ,效果如下: 這說明,可以順利實(shí)現(xiàn)值的傳遞。 這四種方法各有特點(diǎn),各有安全性,本節(jié)將對(duì)其進(jìn)行分析。很明顯,該應(yīng)用中,頁面 2必須知道頁面 1中定義的那個(gè)變量。 ? 問題的關(guān)鍵在于頁面 1中的數(shù)據(jù)如何提交,頁面 2中的數(shù)據(jù)如何獲得。因此, Web頁面保持狀態(tài)并傳遞給其他頁面,是一個(gè)重要技術(shù)。 a href=查看 /a 3 頁面狀態(tài)值安全 我們知道, HTTP是無狀態(tài)的協(xié)議。如王海的學(xué)號(hào)為 0035,所以王海右邊的“查看”鏈接可以設(shè)計(jì)為這樣: 這樣,用于學(xué)生王海從數(shù)據(jù)庫獲取數(shù)據(jù)的 URL為: 在向數(shù)據(jù)庫查詢時(shí),就可以首先檢查“ guokehua”是否在登錄狀態(tài),然后根據(jù)學(xué)號(hào) (0035)和教師用戶名 (guokehua)綜合進(jìn)行查詢。這樣編寫導(dǎo)致該學(xué)校網(wǎng)站為 URL操作攻擊敞開了大門。這里就造成了一個(gè)不安全的現(xiàn)象:老師可以查詢不是他班級(jí)上的學(xué)生的信息。 注意,前面的步驟中,點(diǎn)擊“王?!庇疫叺摹安榭础辨溄訒r(shí),用于學(xué)生“王海”從數(shù)據(jù)庫獲取數(shù)據(jù)的 URL為: 因?yàn)橥鹾5膶W(xué)號(hào)為 0035,所以,從客戶端源代碼上講,“王?!庇疫叺摹安榭础辨溄涌雌饋硎沁@樣的: 該 URL非常直觀,可以從中看到是獲取 stuno為 0035的數(shù)據(jù),因此,給了攻擊者機(jī)會(huì), 你可以很容易嘗試將如下 URL輸入到地址欄中: 表示命令數(shù)據(jù)庫查詢學(xué)號(hào)為 0001的學(xué)生信息,當(dāng)然,可能剛開始的嘗試或許得不到結(jié)果 (該學(xué)號(hào)可能不存在 ),但是經(jīng)過足夠次數(shù)的嘗試,總可以給攻擊者得到結(jié)果的機(jī)會(huì)。將信息顯示。 2:登錄成功后,教師會(huì)看到下圖所示的 wele界面, 該頁面中,首先從 session中獲取登陸用戶名,然后結(jié)合兩個(gè)表進(jìn)行查詢,得到班級(jí)學(xué)生姓名,在列表中,顯示了該教師所在班級(jí)的學(xué)生;后面的鏈接負(fù)責(zé)將該學(xué)生的學(xué)號(hào)傳給 。 舉一個(gè)例子,假如有一個(gè)教學(xué)管理系統(tǒng),教師輸入自己的賬號(hào)、密碼,可以看到他所教的班級(jí)的學(xué)生信息。 URN也是 URI的一個(gè)子集。在網(wǎng)絡(luò)領(lǐng)域,熟悉 URL概念的人比熟悉 URI的要多,實(shí)際上, URL是 URI命名機(jī)制的一個(gè)子集。 以下是一個(gè)典型的 URL例子: 可以看出, URI一般由 3把部分組成: ? ?? 訪問資源的命名機(jī)制 (協(xié)議 ): ,實(shí)際上還有可能是 ftp等; ? ?? 存放資源的主機(jī)名: localhost:8080; ? ?? 資源自身的名稱,由路徑表示: /Prj08/; ? ?? 其他信息,如查詢字符串等: ?username=guokehua。 2 避免 URL操作攻擊 URL的概念及其工作原理 Web上有很多資源,如 HTML文檔、圖像、視頻、程序等,在訪問時(shí),它們的
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1