在以往的文章中匯仁智杰專(zhuān)業(yè)網(wǎng)絡(luò)推廣已經(jīng)為打擊介紹過(guò)了一些Web應(yīng)用安全漏洞了，但是上一次由于篇幅有限我忙呢介紹的并不全面，今天我們繼續(xù)給大家補(bǔ)充一些Web應(yīng)用安全漏洞。

　　1、輸入信息控制

　　輸入信息檢查包括能夠通過(guò)控制由CGI腳本處理的HTML格式中的輸入信息來(lái)運(yùn)行系統(tǒng)命令。例如，使用CGI腳本向另一個(gè)用戶(hù)發(fā)送信息的形式可以被攻擊者控制來(lái)將服務(wù)器的口令文件郵寄給惡意的用戶(hù)或者刪除系統(tǒng)上的所有文件。

　　2、緩沖區(qū)溢出

　　緩沖區(qū)溢出是惡意的用戶(hù)向服務(wù)器發(fā)送大量數(shù)據(jù)以使系統(tǒng)癱瘓的典型攻擊手段。該系統(tǒng)包括存儲(chǔ)這些數(shù)據(jù)的預(yù)置緩沖區(qū)。如果所收到的數(shù)據(jù)量大于緩沖區(qū)，則部分?jǐn)?shù)據(jù)就會(huì)溢出到堆棧中。如果這些數(shù)據(jù)是代碼，系統(tǒng)隨后就會(huì)執(zhí)行溢出到堆棧上的任何代碼。Web應(yīng)用緩沖區(qū)溢出攻擊的典型例子也涉及到HTML文件。如果HTML文件上的一個(gè)字段中的數(shù)據(jù)足夠的大，它就能創(chuàng)造一個(gè)緩沖器溢出條件。

　　3、直接訪問(wèn)瀏覽

　　直接訪問(wèn)瀏覽指直接訪問(wèn)應(yīng)該需要驗(yàn)證的網(wǎng)頁(yè)。沒(méi)有正確配置的Web應(yīng)用程序可以讓惡意的用戶(hù)直接訪問(wèn)包括有敏感信息的URL或者使提供收費(fèi)網(wǎng)頁(yè)的公司喪失收入。

　　4、跨站點(diǎn)腳本編寫(xiě)

　　一般來(lái)說(shuō)，跨站點(diǎn)編寫(xiě)腳本是將代碼插入由另一個(gè)源發(fā)送的網(wǎng)頁(yè)之中的過(guò)程。利用跨站點(diǎn)編寫(xiě)腳本的一種方式是通過(guò)HTML格式，將信息帖到公告牌上就是跨站點(diǎn)腳本編寫(xiě)的一個(gè)很好范例。惡意的用戶(hù)會(huì)在公告牌上帖上包含有惡意的java script代碼的信息。當(dāng)用戶(hù)查看這個(gè)公告牌時(shí)，服務(wù)器就會(huì)發(fā)送HTML與這個(gè)惡意的用戶(hù)代碼一起顯示?？蛻?hù)端的瀏覽器會(huì)執(zhí)行該代碼，因?yàn)樗J(rèn)為這是來(lái)自Web服務(wù)器的有效代碼。

　　今天我們又為大家介紹了四個(gè)Web應(yīng)用安全漏洞，加上以前的介紹一共是七個(gè)，希望大家可以仔細(xì)閱讀，也希望Web前端開(kāi)發(fā)者可以避免這些錯(cuò)誤。