web与用户交互安全.ppt_第1页
web与用户交互安全.ppt_第2页
web与用户交互安全.ppt_第3页
web与用户交互安全.ppt_第4页
web与用户交互安全.ppt_第5页
已阅读5页,还剩15页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、,WEB与用户交互中的安全,齐萌 2010-04-20,思考,3.通过GET方式执行一些操作有哪些安全问题?例如:删除某篇日志时访问 manage.php?action=delete else $out = GET /vote.php?id=5128 HTTP/1.1rn;$out .= Host: rn; $out .= x_forwarded_for: rn;$out .= Connection: Closernrn;fwrite($fp, $out);while (!feof($fp) echo fgets($fp, 128);fclose($fp);,解决办法:使用 $i

2、p=$_SERVERREMOTE_ADDR;,突破IP限制-2使用真实IP,到各个论坛以插入图片的形式发表回复,这样凡是浏览过该帖子的人都自动为你投票了,因为已经产生了http请求,返回的结果.如果你自己的网站有一定的流量,可以直接挂在自己网站上 下面是在百度贴吧截图,解决:加来源HTTP_REFERER判断,改GET方式为POST方式,突破来源REFERER限制,如果某页面限制投票的来源必须是自己(域名下),那么我们可以使用自己的网站(www.B.com)做中转 我们可以使用如下页面 方式:http:/www.B.com/ 方式:.B.com/jmp.html 方式:http:/www.B.

3、com/a.html? 然后再此页面里写入 这样请求的来源限制就被绕过,解决:使用更为严格的正则判断 或者使用php的parse_uri()函数进行分解,突破POST限制-1转换成GET,如果页面中使用的是$_REQUESTvar或是$var来获取变量,那么我们可以直接使用GET方式进行请求 ,突破POST限制-2使用JS提交表单,使用自己的页面进行刷 在个人站中加隐藏iframe执行如下代码 document.getElementById(f).submit();,突破登录限制-1.利用PHP模拟注册、登录和提交,使用fsockopen 或 curl 循环进行注册、登录 和提交,突破登录限制-2使用其下产品进行提交,例如开心网某活动限制必须登录才可投票 投票地址为: 然后发表日志或发表评论,只要看到的用户都自动替你投票,突破验证码限制-1利用固定cookie进行提交,如果验证码是加密存放在cookie内 那么我们使用PHP循环携带固定的cookie和对应的验证码值进行模拟提交,突破验证码限制-2.不去请求新验证码,如果服务器端在每次成功处理完毕没有对验证码进行销毁而是页面调用重新生成验证码, 那么我们只要不去请求新验证码即可实现使用同一个验证码重复进行提交,突破验证码限制-3. 验证码图片识别,将验证码按点阵读取RGB颜色值

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论