本文
创新互联科技有限公司为大家详细介绍防御攻击,它们在有可能的扯挫败应用针对常见的基于输入的漏洞而采取的许多防御机制。在确认检测过程中,当需要再几个步骤中处理用户提交的输入时,就会出现一个输入处理机制经常遇到的问题。如果当应用程序试图通过删除或编码字符来净化用户输入时,就会出现这种问题。
如果
重庆网站制作公司的设计对用户输入执行几个确认步骤,攻击者就可以利用这些步骤的顺序来避开过滤,例如,如果用于程序首先递归删除..╲,然后递归删除..╲,就可以使用以下避开确认检查:....╲ ╱
数据规范化会造成另外一个问题,当用户浏览器送出去输入时,它可对这些输入进行各种形式的编码。规范化是指将数据转换货解码成一个常见的一个字符集的过程。规范化以后,那么攻击者就可以通过使用编码避开确认机制。
如果应用程序删除而不是阻止省略号,然后执行进一步的规范化,则可以使用以下输入避开过滤.值得要说的是,在这个情况下,应用程序服务器段不一定会执行多步确认和规范化。除了供Web应用程序的使用标准外,其他情况下,如果应用程序采用的组件数据从一个字符集转换为另一个字符集,这也会导致规范化问题。例如,某些技术会基于印刷字体的雷同,对字符执行的映射,这事,字符《人》分别会被转换为<人>。攻击者经常利用这些方法传送阻止字符或关键字等,从而避开应用程序的输入过滤。
在净化过程中对一个存在疑问的字符进行转义,那么这种情况可能会造成无限的循环。通常,最好的避免净化这些不良输入的做法,完全的拒绝这类输入。当然,有些问题也是根据具体情况、基于所执行的确认来加以解决的。
网站标题:Web核心的防御机制需要多步确认与规范化
浏览路径:/news30/172580.html
成都网站建设公司_创新互联,为您提供营销型网站建设、全网营销推广、Google、网站维护、用户体验、星空体育app最新版本(2024已更新)
广告
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源:
创新互联