互动网站将HTML格式用于用户反馈信息、在线用户注册、身份识别和购物车等。输入的文本和RADIO等要素用来向一个脚本或者应用程序发送数据以便在Web服务器上进行处理。Web服务器将根据收到的数据做出回应。许多网站使用“HIDDEN”(隐藏)表格输入类型,以便在把数据传送到Web服务器的过程中不在网页上显示这个信息并且使用与用户无关的信息把这个信息搞乱。
HIDDEN值也用于维护状态信息,因为HTTP本身不保留状态信息。遗憾的是,HIDDEN的属性名称是一种误导。虽然一个HIDDEN表格字段的值不在网页上显示出来,但是,熟悉浏览器中“查看源代码”指令的任何用户都能够很容易地看到这个信息。 从信……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
互动网站将HTML格式用于用户反馈信息、在线用户注册、身份识别和购物车等。输入的文本和RADIO等要素用来向一个脚本或者应用程序发送数据以便在Web服务器上进行处理。Web服务器将根据收到的数据做出回应。许多网站使用“HIDDEN”(隐藏)表格输入类型,以便在把数据传送到Web服务器的过程中不在网页上显示这个信息并且使用与用户无关的信息把这个信息搞乱。HIDDEN值也用于维护状态信息,因为HTTP本身不保留状态信息。遗憾的是,HIDDEN的属性名称是一种误导。虽然一个HIDDEN表格字段的值不在网页上显示出来,但是,熟悉浏览器中“查看源代码”指令的任何用户都能够很容易地看到这个信息。
从信息系统安全方面说,表格输入是一种“允许的路径”,也就是说数据不是被封锁的。这个数据允许进入服务器。由于用户可以在它们的电脑上存储、编辑和发送HTML网页,用户就可能通过“隐藏的”表格字段向服务器发送虚假的或者预料不到的值。例如,使用“HIDDEN”字段发送身份识别信息的表格可能为攻击者提供获得授权进入系统的方法。同样,使用cookies存储信息就同在客户端进行修改一样容易受到攻击。使用HIDDEN表格字段保存状态信息也是危险的,因为这个过程的信息并不是真地隐藏起来,因此能够让攻击者劫持这个过程。
绕过HIDDEN表格字段的这个问题的一个方法是加密表格中的HIDDEN值并且在脚本和数据库操作提出请求时为其解密。然而,临时存储不同的表格需求的信息的最佳方法是使用一个进程cookie。这种cookie可用来访问服务器端维护的进程值,也可以用来访问在用户访问你的网站期间存储临时值的数据库。
无论你是否使用HIDDEN表格字段,如果你的网站使用一个表格的输入建立发送到一个数据库的SQL语句,或者作为一个CGI脚本的变量,你不能推测这个输入是合法的,或者是非恶意的。如果这个输入数据在进行处理之前没有得到合法性验证,很多攻击者都可以利用这种用户输入获得访问一个Web服务器的权限。这就意味着许多用户输入数据在发送到另一个处理进程之前都需要进行检查。如果任何输入的数据被用来构建网页或者提取数据库或其它资源中的数据,这些输入数据在网页上发表之前必须要进行检查。对所有这些数据进行健康性检查和过滤将确保删除任何错误的数据和阻止SQL注入等攻击。
作者
相关推荐
-
浅谈数据库系统安全保护机制
随着计算机及网络技术的发展和广发应用,越来越多的关键业务系统运行在数据库平台上。数据库中的数据作为一个组织中的数字财产,一旦泄露或丢失就可能让组织蒙受经济损失。
-
美国政府网络安全受到更复杂的攻击
联邦政府的信息系统被无情的安全压力包围了,执行良好的寻求情报攻击在持续增长。政府网络安全专家说这种情况越来越严重了。
-
中国反恶意软件联盟4日在天津成立
中国反恶意软件联盟4日在天津成立。联盟将联合计算机病毒防治企业、信息网络安全研究机构,协助公安机关打击防范利用病毒木马等黑客攻击手段进行的网络犯罪……
-
十五个企业存在的信息安全问题
许多企事业单位的业务依赖于信息系统安全运行,信息已经成为各企事业单位中的重要资源,分析当前的信息安全问题,有十五个典型的信息安全问题急需解决……