接口的引入式攻击设想
接口的引入式攻击设想
对于逻辑参数过滤不严可进行接口的引入攻击
那么这个原理基于认证基础的.\ .\ ,可测试XSS的相关漏洞,也是相对的原理
那么接口的漏洞,一般就与认证有关,就是认证当前用户,以及认证当前的状态等等
一个设想的例子,存在逻辑漏洞的页面: 这里就好比www.xxx.com/inc/reset?id=1
其中的reset是
那么提交会超时。那么
接口漏洞还有一点接收用户输入的判断,以便存放于cookie页面的状态
那么相关代码如:简单的判断而已
在字符串Str接收的参数,可用于直接保存的状态,问题就在于提交处
如某个用户已经接收判断,他会有一个当前请求,那么
提交后他的状态已改变,这时候就可以在存在问题的状态上做手脚
把JS的代码修改下加入我们喜欢的恶意代码,如XSS相关
可在本地域测试下效果,再在平台上发挥作用
当然,这是1种引入,非导入的攻击方式,这种攻击方式是基于认证,浏览器解释的原理下。
If (theForm.user.value = "") Then
MsgBox "请在 用户名 域中输入值。", 0, "有效性验证错误"
theForm.user.focus()
FrontPage_Form1_onsubmit = False
Exit Function
End If
If (Len(theForm.user.value) < 2) Then
MsgBox "在 用户名 域中,请至少输入 2 个字符。", 0, "有效性验证错误"
theForm.user.focus()
FrontPage_Form1_onsubmit = False
Exit Function
End If
<< 上一篇
下一篇 >>