- 联系电话 - - 来校路线 - 广州天河区五山路金华园区3楼307(华工南门)
您现在的位置: 广州电脑培训学校 >> 电脑培训 >> 网络工程培训 >> 正文  >
wap网站的安全之session

  现在WAP的网站也不少了吧。手机现在非常普及

  不过手机网站也有漏洞

  比如 不用XSS即可盗取sid 之后登录。

  来做个比喻,比如广州电脑培训的学生在某个手机网站注册之后是 XXX.COM/?sid=123123123

  当然猜是不可能了

  这就要借助网站日志的来路记录

  在这个论坛评个论,内容是http://www.safe121.com,发表出去,URL被转换成连接了

  让人点击了,他的SID就被日志记录下来了(来路)

  所以这就产生了跳过验证,以前QQ邮箱就有这个问题

  举个例子,我写了个记录来路的php:

   

       

 

 

         假如他点击了

 

        

 

  就被记录了。

  这种漏洞的修复方法也很简单:

  1.屏蔽URL的连接

  2.采用跳转,比如强制替换成这样 http://www.ynbdqn.cn/no-link.php?links=http://www.google.com

 

  • 上一个课程:
  • 下一个课程:
  • 走进学校|电脑课程|网站导航|联系电话020-85566215

    备案/许可证编号为粤ICP备11070650号-4

    学校地址:广州市天河区五山路华南理工大学国家科技园金华园区3楼C307

    Copyright @ 2003-2016 www.ynbdqn.cn All Rights Reserved.Optimized for 1024x768

    版权所有:广州青大教育信息咨询有限公司