堵塞Web漏洞(中)(2)
2008-02-23 08:21:12来源:互联网 阅读 ()
在输入框中输入标准的HTML语句会得到什么相的结果呢?
比如一个留言本,我们留言内容中输入:
<fontsize=10>您好!</font>
假如您的ASP程式中没有屏蔽HTML语句,那么就会改变“您好”字体的大小。在留言本中改变字体大小和贴图有时并不是什么坏事,反而能够使留言本生动。但是假如在输入框中写个javascript的死循环,比如:<aherf=”http://someurl“onMouseover=”while(1){window.close(’/’)}“>特大新闻</a>
那么其他查看该留言的客人只要移动鼠标到”特大新闻“,上就会使用户的浏览器因死循环而死掉。
解决方法和建议:
编写类似程式时应该做好对此类操作的防范,譬如能够写一段程式判断客户端的输入,并屏蔽掉任何的HTML、JavaScrip。
4、AccessMDB数据库有可能被下载的漏洞
问题描述:
在用Access做后台数据库时,假如有人通过各种方法知道或猜到了服务器的Access数据库的路径和数据库名称,那么他能够下载这个Access数据库文档,这是很危险的。比如:假如您Access数据库book.mdb放在虚拟目录下的database目录下,那么有人在浏览器中输入:
http://someurl/database/book.mdb
假如您的book.mdb数据库没有事先加密的话,那book.mdb中任何重要的数据都掌控在别人的手中。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇: 堵塞Web漏洞(上)
下一篇: 堵塞Web漏洞(下)
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
