深圳网站建设
深圳市方与圆网络科技有限公司是一家专注于高品质网站建设、网站设计、网站制作和优化推广于一体的互联网应用服务公司
首页 > 行业新闻 > Web核心的防御机制需要多步确认与规范化
Industry News 行业新闻
Web核心的防御机制需要多步确认与规范化
发布时间:2014-6-16 21:09:51  |  浏览次数:  |   来源:深圳市方与圆网络科技有限公司
本文深圳市方与圆网络科技有限公司为大家详细介绍防御攻击,它们在有可能的扯挫败应用针对常见的基于输入的漏洞而采取的许多防御机制。在确认检测过程中,当需要再几个步骤中处理用户提交的输入时,就会出现一个输入处理机制经常遇到的问题。如果当应用程序试图通过删除或编码字符来净化用户输入时,就会出现这种问题。
如果深圳网站制作公司的设计对用户输入执行几个确认步骤,攻击者就可以利用这些步骤的顺序来避开过滤,例如,如果用于程序首先递归删除..╲,然后递归删除..╲,就可以使用以下避开确认检查:....╲ ╱
数据规范化会造成另外一个问题,当用户浏览器送出去输入时,它可对这些输入进行各种形式的编码。规范化是指将数据转换货解码成一个常见的一个字符集的过程。规范化以后,那么攻击者就可以通过使用编码避开确认机制。
如果应用程序删除而不是阻止省略号,然后执行进一步的规范化,则可以使用以下输入避开过滤.值得要说的是,在这个情况下,应用程序服务器段不一定会执行多步确认和规范化。除了供Web应用程序的使用标准外,其他情况下,如果应用程序采用的组件数据从一个字符集转换为另一个字符集,这也会导致规范化问题。例如,某些技术会基于印刷字体的雷同,对字符执行的映射,这事,字符《人》分别会被转换为<人>。攻击者经常利用这些方法传送阻止字符或关键字等,从而避开应用程序的输入过滤。
在净化过程中对一个存在疑问的字符进行转义,那么这种情况可能会造成无限的循环。通常,最好的避免净化这些不良输入的做法,完全的拒绝这类输入。当然,有些问题也是根据具体情况、基于所执行的确认来加以解决的。
咨询热线:0755-89314597   18926763719   E-MAIL:sales@szfyweb.com
地址:深圳市龙华新区龙华街道东环一路南方明珠B座5楼   网址:www.szfyweb.com
版权所有 © 2013-2014 深圳市方与圆网络科技有限公司 粤ICP备14006986号    
在线留言  |  点击这里给我发消息