堵塞Web漏洞（中）(2)

在输入框中输入标准的HTML语句会得到什么相的结果呢？

比如一个留言本，我们留言内容中输入：

<fontsize=10>您好！</font>

假如您的ASP程式中没有屏蔽HTML语句，那么就会改变“您好”字体的大小。在留言本中改变字体大小和贴图有时并不是什么坏事，反而能够使留言本生动。但是假如在输入框中写个javascript的死循环，比如：<aherf=”http://someurl“onMouseover=”while(1){window.close(’/’)}“>特大新闻</a>

那么其他查看该留言的客人只要移动鼠标到”特大新闻“，上就会使用户的浏览器因死循环而死掉。

解决方法和建议：

编写类似程式时应该做好对此类操作的防范，譬如能够写一段程式判断客户端的输入，并屏蔽掉任何的HTML、JavaScrip。

4、AccessMDB数据库有可能被下载的漏洞

问题描述：

在用Access做后台数据库时，假如有人通过各种方法知道或猜到了服务器的Access数据库的路径和数据库名称，那么他能够下载这个Access数据库文档，这是很危险的。比如:假如您Access数据库book.mdb放在虚拟目录下的database目录下，那么有人在浏览器中输入：

http://someurl/database/book.mdb

假如您的book.mdb数据库没有事先加密的话，那book.mdb中任何重要的数据都掌控在别人的手中。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有