JavaScript漏洞問題
JavaScript 有哪些漏洞?利用JavaScript漏洞攻击网站有哪些手法?谢谢!!
------解决方案--------------------问这个问题做什么啊?
------解决方案--------------------JavaScript 没漏洞, 是你程序写的用漏洞
------解决方案--------------------题目出的有问题。
------解决方案--------------------是有脚本注入到网站
------解决方案--------------------JS验证 只要存在JavaScript验证,就可能入侵
只要存在JavaScript验证,就可能入侵
在这里我们简单的举个例子,就明白我说的意思了。曾经在实战中,我遇到这么个有趣的事情。一个站点有个上传,也加了限制,只准上传图片格式的文件。于是我看了一下那个jsp页面的源码,让我意外的是,这个上传限制竟然是在jsp页面中做的。这让我不自主的想,服务端是不是没加验证呀。我很快验证了自己这个想法,我通过sniffer抓包工具截取了提交地址。然后自己手动构造了一个提交表单,结果能随意上传其他文件。所以这样的设计存在着很大的安全风险。因为我们可以得到提交页面,如果一些重要的限制放在客户端的话,我们可以直接绕过这些限制,直接向提交地址提交自己的数据,到达入侵的效果。
再比如自己在做项目的时候,遇到这么个问题。通常我们修改密码的时候,通常是不能修改用户名的。有些人就在页面input中加入了个readonly来限制用户不能修改文本框中的用户名,看似这样的就可以实习需求了。但大家仔细想想,这种情况不是和我前面举的上传文件的那个例子是同一样的性质吗?如果这样设计的话,我们可以直接向我们的服务器提交数据,这样不是还有可能修改其他用户的密码信息吗?虽然我们在开发中为了减少服务端的负担,可能会把有些验证放在客户端。但在用到客户端验证的时候,我们要掂量好了。
----正好从http://topic.csdn.net/u/20100427/19/f9c95dc7-72a8-4fb1-8887-cfe21dcc8b95.html?75160看,LZ也看看!
------解决方案--------------------JavaScript 没漏洞, 是你程序写的用漏洞