网站建设安全--程序体 本以为这样就万事大吉了,在表格页上加一些限制,比如maxlength啦,等等..但天公就是那么不作美,你越怕什么他越来什么.你别忘了,攻击者可 以突破sql注入攻击时输入框长度的限制.写一个socket程序改变http_referer?我不会。网上发表了这样一篇文章:
以下是引用片段:
------------len.reg-----------------?
windows registry editor version 5.00?
[hkey_current_user\software\microsoft\internet explorer\menuext\扩展(&e)]?
@=c:\documents and settings\administrator\桌面\len.htm?
contexts=dword:00000004?
-----------end----------------------?
-----------len.htm------------------?
----------end-----------------------
用法:先把len.reg导入注册表(注意文件路径)
然后把len.htm拷到注册表中指定的地方.
打开网页,光标放在要改变长度的输入框上点右键,看多了一个叫扩展的选项了吧
单击搞定! 后记:同样的也就可以对付那些限制输入内容的脚本了.
怎么办?我们的限制被饶过了,所有的努力都白费了?不,举起你de键盘,说不。让我们继续回到脚本字符的过滤吧,他们所进行的注入无非就是进行脚本攻 击。我们把所有的精力全都用到action以后的页面吧,在chk.asp页中,我们将非法的字符全部过滤掉,结果如何?我们只在前面虚晃一枪,叫他们去 改注册表吧,当他们改完才会发现,他们所做的都是那么的徒劳。
网站建设安全--防范远程注入攻击
网站建设安全--数据库下载漏洞
网站建设安全--特殊字符
网站建设安全--自动备份被下载
网站建设安全之inc文件泄露问题
?