查看: 2073|回复: 25

网页安全漏洞检测 - 隐藏字段

[复制链接]
发表于 2013-1-31 11:44:52 | 显示全部楼层 |阅读模式
一些设计不当的网站系统可能包含很多可以被利用的安全漏洞,这些安全漏洞如同给远程攻击者开了一个后门,让攻击者可以方便地进行某些恶意的攻击。例如,公共漏洞和披露网站CVE(Common Vulnerabilities and Exposures)公布了Element InstantShop中的Web网页add_2_basket.asp的一个漏洞项,允许远程攻击者通过隐藏的表单变量“price”来修改价格信息。这个表单的形式如下所示:


<INPUT TYPE = HIDDEN NAME = "id" VALUE = "AUTO0034">
<INPUT TYPE = HIDDEN NAME = "product" VALUE = "BMW545">
<INPUT TYPE = HIDDEN NAME = "name" VALUE = "Expensive Car">
<INPUT TYPE = HIDDEN NAME = "price" VALUE = "100">


利用这个漏洞,不怀好意者可以任意设定price字段的值,然后提交给InstantShop网站的后台服务器,从而可能用100美元就可以获得一部BMW545。


技巧:发现类似的安全漏洞的最好方法是进行代码审查。除了代码审查,测试人员还可以利用一些测试工具进行检查,例如:Paessler Site Inspector、Web Developer等。&#8203;
发表于 2013-1-31 17:12:28 | 显示全部楼层
好帖子,要顶!
发表于 2013-2-10 14:51:28 | 显示全部楼层
满城尽待年终奖,弄弄才是喇叭腔  
ybin2012 该用户已被删除
发表于 2013-2-10 22:33:39 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-9-20 22:37:57 | 显示全部楼层
你加油吧  
发表于 2014-11-17 09:25:20 | 显示全部楼层
太棒了!  
发表于 2014-12-4 20:26:18 | 显示全部楼层
不错,支持下  
发表于 2014-12-27 22:08:01 | 显示全部楼层
这样的贴子,不顶说不过去啊  
发表于 2015-1-27 21:19:29 | 显示全部楼层
初来乍到,请多多关照。。。  
发表于 2015-3-1 21:16:58 | 显示全部楼层
做对的事情比把事情做对重要。  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则