系统管理员可以让系统固于金汤,但是如果网页程序有漏洞,最好的系统管理员也没有办法。下面就举几个常见的例子;
一般程序设计者将用户名和密码保存在数据库中,验证用户合法性时,检验密码和用户名是否对应,以此判定用户是否合法。
此页面的数据用login.asp处理,其源代码如下(以下程序有多处漏洞,请勿直接引用):
以上验证方式有很大一部分程序员使用,但是,如果我们构造一个非常特殊的用户名和密码(这里不给出),语句:mysql=select zhanghao,mima,danwei,lev from login where zhanghao=&zhanghao& and mima=&mima& 中的条件:where zhanghao=&zhanghao& and mima=&mima& 限制就会毫无用处,一直为真,这样,非合法用户也就直接进入了敏感区域。网上有很多这样设计的验证,笔者因为工作关系,发现太多有这种漏洞的验证,甚至一些很有影响的大公司设计的程序也是如此。建议读者检查自己的程序有无这种漏洞,如果有,请用以下方法解决。
然后执行,如果没有此帐号,直接跳入错误页面;如果有此帐号,将此帐号对应密码和用户提交密码比较:
过滤一些敏感字符可以直接防止此漏洞的产生,比如:“&”“/”“”“+”“ ‘ ”等。具体方法在在这里就不详细给出了。
ASP网页程序设计的时候,我们一般将数据库连接方式保存为一个文件,在需要此连接的网页中直接应用此文件。刚才用户验证的例子程序就有这样的连接文件应用,读者会发现“login.asp”文件源程序有这样一句:
这种引用方式给网页设计者很大的方便,然而,如果有心人想窥探你的数据连接方式,他就有可能猜出你的连接文件名,然后在浏览器直接打入此文件名,如:
结果是此文件被下载,然后你的数据库连接方式直接暴露在别人面前,甚至数据库帐号密码也泄漏,然后结果就可想而知。
以上设计方式现在仍然有很多设计者在使用,希望读者不要以此实验!那么,网页设计者怎样避免以上漏洞?有以下几种方法:
连接文件不一定要是inc文件,也可以是ASP文件,因此,我们可以将conn.inc改名为conn.asp,这样,浏览端就不可以下载此连接文件了;
(3)如果一定要使用inc文件,将此文件取一个特别复杂的名字,比如:xxx223773.inc,反正不能让浏览者猜到;
还是第一点的验证,经验不足的网页设计者在设计网页时,往往可以考虑到在敏IM电竞,IM电竞网址感区域入口加上用户验证,但是,对于敏感区域内部的网页就不再加入验证。这样的IM电竞,IM电竞网址结果是,如果用户从网页设计者提供的入口进入敏感区域,就会有验证出现;如果用户跨过验证入口,直接调用敏感区的文件,这个验证就形于虚设。这个毛病不但初学者有,那些设计经验很丰富的设计者有时为了简单,客户有不会仔细检查,干脆也就做个样子算了。那么,到底应该怎样使敏感区的每一个文件都有验证,不能直接调阅?有以下方法:那就是给用户设计一个session,如果用户的session不为空,证明是合法用户;反之,直接跳到登录页面。以下给出简单例子。
(2)敏感区的每一个文件验证其session是否为空,如果为空,跳到登录页面要求登录;可以这样设计:
总结:以上只是网页设计中一些比较典型的安全漏洞,要做到真正的安全网页设计,不但需要长久的经验而且需要不断的开阔视野,了解最新的安全问题。
温馨提示:在浏览“网页设计的安全漏洞分析”的时候,遇到了一点问题,该内容由用户上传,目前的状态为内容正在审核中。
来自贵州省招生考试院最新消息,2023年贵州高考成绩查询6月24日00:00开通!2023年贵州高考考生们可以在成绩查询系统开通后前往贵州省招生考试院高考查分入口进行查分,2023年贵州高考成绩查询开通时间:6月24日00:00
2023年沈阳航空航天大学普通类招生计划,沈阳航空航天大学2023年招生计划
2023年安徽建筑大学普通类招生计划,安徽建筑大学2023年分省分专业招生计划公布
2023年广东药科大学普通类招生计划,广东药科大学2023年普通本科分省分专业招生计划表
2023年新疆高考志愿填报,新疆2023年普通高考志愿填报系统拟于6月25日12时正式开通
2023年贵州高考成绩查询,贵州省2023年高考成绩发布时间为6月24日00:00左右
贵州省2023年高考志愿填报时间为6月27日00:00到6月30日18:00
2023年贵州高考志愿填报,贵州省2023年高考志愿填报时间为6月27日00:00到6月30日18:00
2023年黑龙江高考志愿填报,2023年黑龙江省高考考生网上志愿填报须知
2023年江苏高考招生资讯,江苏2023年普通高校招生艺术类专业校考合格名单开始查询
2023年福建高考志愿填报,2023年福建省普通高校招生志愿填报问答(二)
2023年江西高考志愿填报,江西省2023年普通高校招生志愿设置、填报时间及投档次序
2023年福建高考志愿填报,2023年福建省普通高校招生志愿填报问答(一)
山东高考招生资讯,2023山东高考本科招生计划公布!山东大学,山东师大,曲阜师大
福建省高等学校招生委员会福建省教育厅关于印发2023年福建省普通高等学校招生录取实施办法的通知
2023年福建高考志愿填报,福建省高等学校招生委员会 福建省教育厅关于印发2023年福建省普通高等学校招生录取实施办法的通知
2023年四川军校招生,2023年四川高考招生资讯,四川省2023年招收定向培养军士公告
2023年新疆艺术类校考,新疆2023年普通高校艺术类专业校考成绩公布
2023年江西高考志愿填报,2023年江西高考志愿填报,江西省2023年普通高校招生考生填报志愿表(样表)
湖南大众传媒职业技术学院2022年外省录取情况统计表(音乐、美术、舞蹈、表演)
湖南大众传媒职业技术学院2022年外省录取情况统计表(音乐、美术、舞蹈、表演)
湖南大众传媒职业技术学院2022年外省录取情况统计表IM电竞,IM电竞网址(音乐、美术、舞蹈、表演)
湖南大众传媒职业技术学院2022年外省录取情况统计表(音乐、美术、舞蹈、表演)
江苏信息职业技术学院2022年江苏省艺术类各专业录取最高分、最低分、平均分
湖南科技学院2022年音乐学、舞蹈学、航空服务艺术与管理分省投档线汇总表
上海旅游高等专科学校关于调整2023年空中乘务专业在山东省第四批次招生面试方式的通知