防URL参数攻击方案
本文属spanzhang原创,其blog地址为:http://blog.csdn.net/spanzhang。引用或转贴请注明出处,谢谢!!
现在的网站基本上都有后台数据库,而这个东东也就成了攻击的重点。从URL传入特殊参数成为了一种常用的攻击手段,就是对那些为了提高搜索率做了简单URL重写的网页也一样。我下面给出的解决方案基本上能解决受到攻击的危险,但也有一些小小的弊端。
Yes,最容易想到的方法就是不要将URL参数在客户端显示出来。但这基本上是不可能的,倒不是技术上行不通,是因为操作起来会把人累死,而且程序结构(可读性)会受到严重威胁。折中的办法就是将URL参数部分加密,这样就可以杜绝攻击者对URL做文章了,同时网页的搜索率不会受到太大的影响,但网页的URL将不再好记。一个简单的示例如下:
http://192.168.0.1/app1/editProfile__AsamrlDcFZr0a0eTdqX0U0U8c81rzSzfBgYJCf6iQXB.aspx
其中,双下划线“__”是分割符号,后面的AsamrlDcFZr0a0eTdqX0U0U8c81rzSzfBgYJCf6iQXB是加密了的参数列表,解密出来后为userId=13972&action=delete。上面的URL将被transfer到:
http://192.168.0.1/app1/editProfile.aspx?userId=13972&action=delete
另外,关于URL Rewriting,你可以使用HttpModule,也可以使用404错误来dispatch你的页面。
转载于:https://www.cnblogs.com/Nina-piaoye/archive/2006/09/13/502763.html
防URL参数攻击方案相关推荐
- 前端拦截url参数xss攻击_闲庭信步聊前端 - 漫谈XSS
闲庭信步聊前端 - 漫谈XSS 什么是XSS? 众所周知XSS是Cross-Site Scripting(跨站脚本攻击)的简称,但是英文的缩写明明是CSS为什么叫XSS呢?---历史遗留问题,因为CS ...
- java dataurl_java url参数去重
展开全部 言归正e68a84e8a2ad62616964757a686964616f31333335326163传. 所谓的Url去重(我一直没找到对应的英文,URL Filtering ?),就是爬 ...
- asp.net防类似DDOS攻击(CC攻击)代码
Web.config <httpModules> <!–Url重写–> <add type="UrlRewriter.RewriterHttpModule, U ...
- java 防止sql xxs注入,Java-JSP网站 防SQL注入,防XSS等攻击有什么好的处理办法?...
jsp 来防SQL注入,防XSS等攻击的话,首先要选择PreparedStatement来处理sql语句!同时java后台还需要对页面中接受到的参数进行字符替换! /** * 清除所有XSS攻击的字符 ...
- 转发和重定向简介及与之相关的(URL)参数(parameter)、属性(attribute)问题探讨
转发和重定向简介及与之相关的(URL)参数(parameter).属性(attribute)问题探讨 蜀中孤鹰 2019-07-15 15:55:49 101 收藏 最后发布:2019-07-15 1 ...
- pc端如何把URL参数隐藏
需求描述:pc端如何把URL参数隐藏,今儿遇到从业以来一个很特殊的问题,写项目都知道一般后台管理系统,很少公开或者对外使用,所以使用时在内部url操作时,安全性并不是很注意,当然对于服务端程序猿可以在 ...
- vue 项目优雅的对 url 参数加密
实现方案:stringifyQuery 和 parseQuery 近期因为公司内部的安全检查,说我们现在的系统中参数是明文的,包括给后端请求的参数和前端页面跳转携带的参数,因为是公司内部使用的系统,在 ...
- 【js操作url参数】获取指定url参数值、取指定url参数并转为json对象
获取指定url参数值 /* 获取某url中的某参数值 调用:GetUrlQueryString("[url地址]","[参数名]"); */ function ...
- html的子页面获取自己url,如何从html页面获取url参数并将其显示在textarea中?
我用下面的在我的HTML页面的JavaScript功能,我想没有textarea的任何连接操作正常显示参数....如何从html页面获取url参数并将其显示在textarea中? function g ...
最新文章
- python xpath语法-Python xpath表达式如何实现数据处理
- RH442-3 队列技术
- Nginx-常见服务器的对比
- 一个java处理JSON格式数据的通用类(三)
- UIView的一些基本方法 init、loadView、viewDidLoad、viewDidUnload、dealloc
- C# List的方法和属性
- 服务器内存 知乎_巨炮快评! 篇六:16核32线程384GB内存!双路Intel至强数据服务器拆解...
- 如何卸载赛门铁克(Symantec)企业防病毒客户端软件SEP(Symantec Endpoint Protection)?
- 黑客帝国角色 之 尼奥解读
- linux加静态路由命令,LINUX添加静态路由
- nextdate函数白盒测试问题 软件测试_NextDate函数测试用例
- 非负大整数加法---网易校招附加题
- xml 硕正报表_硕正轻量级富Web应用套件–硕正报表主要指标及功能清单
- JAVA 115个面试题及个人部分衍生疑问?
- 华为手机开机卡在开机画面,该怎么解决呢?
- python3 安装PIL模块
- matlab数值分析与应用论文,MATLAB数值分析与应用
- Mac 开机密码忘记
- 传Livy闭包head of empty list报错排查步骤
- 一款练习汇编的神器——DosBox