黑客攻防技术宝典 — Notes 2 避开客户端控件
可攻击的常见漏洞有: 1.Hidden 表单域 2.Cookie (用Paros之类的代理服务器可以拦截请求并修改Cookie值) 3.Session-ID 4.URL参数 5.服务器为了防止攻击,可能会对上述值进行HASH/加密。但攻击者可以想办法找出服务器使用的Hash/加密算法,比如有的服务器会用简单的Base64编码 6.绕开javascript校验和ActiveX的操作 7.反编译Applet 或 Flash 防御招术: 1.尽量不要把敏感数据传到客户端。比如说“价格”,总是可以从数据库里拿的,没必要传到客户端 2.服务端总是要去校验 3.当服务端发现攻击时,应该记下日志,有必要的情况下还要通知管理员,并且冻结用户的账户等等。