接口的引入式攻击设想

接口的引入式攻击设想

对于逻辑参数过滤不严可进行接口的引入攻击

那么这个原理基于认证基础的.\ .\ ,可测试XSS的相关漏洞，也是相对的原理

那么接口的漏洞，一般就与认证有关，就是认证当前用户，以及认证当前的状态等等


一个设想的例子，存在逻辑漏洞的页面： 这里就好比www.xxx.com/inc/reset?id=1



其中的reset是



那么提交会超时。那么

接口漏洞还有一点接收用户输入的判断，以便存放于cookie页面的状态

那么相关代码如：简单的判断而已

在字符串Str接收的参数，可用于直接保存的状态，问题就在于提交处

如某个用户已经接收判断，他会有一个当前请求，那么

提交后他的状态已改变，这时候就可以在存在问题的状态上做手脚

把JS的代码修改下加入我们喜欢的恶意代码，如XSS相关

可在本地域测试下效果，再在平台上发挥作用

当然，这是1种引入，非导入的攻击方式，这种攻击方式是基于认证，浏览器解释的原理下。




If (theForm.user.value = "") Then
MsgBox "请在 用户名 域中输入值。", 0, "有效性验证错误"
theForm.user.focus()
FrontPage_Form1_onsubmit = False
Exit Function
End If

If (Len(theForm.user.value) < 2) Then
MsgBox "在 用户名 域中，请至少输入 2 个字符。", 0, "有效性验证错误"
theForm.user.focus()
FrontPage_Form1_onsubmit = False
Exit Function
End If