Web核心的防御機(jī)制需要多步確認(rèn)與規(guī)范化

本文創(chuàng)新互聯(lián)科技有限公司為大家詳細(xì)介紹防御攻擊，它們?cè)谟锌赡艿某洞鞌?yīng)用針對(duì)常見(jiàn)的基于輸入的漏洞而采取的許多防御機(jī)制。在確認(rèn)檢測(cè)過(guò)程中，當(dāng)需要再幾個(gè)步驟中處理用戶提交的輸入時(shí)，就會(huì)出現(xiàn)一個(gè)輸入處理機(jī)制經(jīng)常遇到的問(wèn)題。如果當(dāng)應(yīng)用程序試圖通過(guò)刪除或編碼字符來(lái)凈化用戶輸入時(shí)，就會(huì)出現(xiàn)這種問(wèn)題。
如果重慶網(wǎng)站制作公司的設(shè)計(jì)對(duì)用戶輸入執(zhí)行幾個(gè)確認(rèn)步驟，攻擊者就可以利用這些步驟的順序來(lái)避開過(guò)濾，例如，如果用于程序首先遞歸刪除..╲，然后遞歸刪除..╲，就可以使用以下避開確認(rèn)檢查：....╲ ╱
數(shù)據(jù)規(guī)范化會(huì)造成另外一個(gè)問(wèn)題，當(dāng)用戶瀏覽器送出去輸入時(shí)，它可對(duì)這些輸入進(jìn)行各種形式的編碼。規(guī)范化是指將數(shù)據(jù)轉(zhuǎn)換貨解碼成一個(gè)常見(jiàn)的一個(gè)字符集的過(guò)程。規(guī)范化以后，那么攻擊者就可以通過(guò)使用編碼避開確認(rèn)機(jī)制。
如果應(yīng)用程序刪除而不是阻止省略號(hào)，然后執(zhí)行進(jìn)一步的規(guī)范化，則可以使用以下輸入避開過(guò)濾.值得要說(shuō)的是，在這個(gè)情況下，應(yīng)用程序服務(wù)器段不一定會(huì)執(zhí)行多步確認(rèn)和規(guī)范化。除了供Web應(yīng)用程序的使用標(biāo)準(zhǔn)外，其他情況下，如果應(yīng)用程序采用的組件數(shù)據(jù)從一個(gè)字符集轉(zhuǎn)換為另一個(gè)字符集，這也會(huì)導(dǎo)致規(guī)范化問(wèn)題。例如，某些技術(shù)會(huì)基于印刷字體的雷同，對(duì)字符執(zhí)行的映射，這事，字符《人》分別會(huì)被轉(zhuǎn)換為＜人＞。攻擊者經(jīng)常利用這些方法傳送阻止字符或關(guān)鍵字等，從而避開應(yīng)用程序的輸入過(guò)濾。
在凈化過(guò)程中對(duì)一個(gè)存在疑問(wèn)的字符進(jìn)行轉(zhuǎn)義，那么這種情況可能會(huì)造成無(wú)限的循環(huán)。通常，最好的避免凈化這些不良輸入的做法，完全的拒絕這類輸入。當(dāng)然，有些問(wèn)題也是根據(jù)具體情況、基于所執(zhí)行的確認(rèn)來(lái)加以解決的。

網(wǎng)站標(biāo)題：Web核心的防御機(jī)制需要多步確認(rèn)與規(guī)范化
瀏覽路徑：http://www.bm7419.com/news30/172580.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供營(yíng)銷型網(wǎng)站建設(shè)、全網(wǎng)營(yíng)銷推廣、Google、網(wǎng)站維護(hù)、用戶體驗(yàn)、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)