wap网站的安全之session
作者:广州电脑培训发布时间:2020-09-02分类:专业设置浏览:520
导读: 现在WAP的网站也不少了吧。手机现在非常普及 不过手机网站也有漏洞 比如不用XSS即可盗取sid之后登录。 来做个比喻,比如广州电脑培训的学生在某个手...
现在WAP的网站也不少了吧。手机现在非常普及
不过手机网站也有漏洞
比如 不用XSS即可盗取sid 之后登录。
来做个比喻,比如广州电脑培训的学生在某个手机网站注册之后是 XXX.COM/?sid=123123123
当然猜是不可能了
这就要借助网站日志的来路记录
在这个论坛评个论,内容是http://www.safe121.com,发表出去,URL被转换成连接了
让人点击了,他的SID就被日志记录下来了(来路)
所以这就产生了跳过验证,以前QQ邮箱就有这个问题
举个例子,我写了个记录来路的php:
假如他点击了
就被记录了。
这种漏洞的修复方法也很简单:
1.屏蔽URL的连接
2.采用跳转,比如强制替换成这样 http://www.ynbdqn.cn/no-link.php?links=http://www.google.com
- 上一篇:学习HTML5须知十件事
- 下一篇:游戏动漫美术设计
- 专业设置排行
- 最近发表
-
- 梅州信息:凝聚共识裁审同行梅州市召开劳动人事争议裁审衔接工作研讨会|||计算机网络培训学校
- 东莞信息:虎门镇民营企业招聘月活动|||广州市北大青鸟计算机职业培训学校
- 东莞信息:(塘厦)塘厦镇举办“筑劳知识”之“阳光经营第一课”劳务派遣政策法规宣讲会|||计算机职业技能培训班
- 东莞信息:(塘厦)塘厦镇举办2024年全市首场名城名企OpenDay活动启动仪式|||计算机软件培训学校
- 东莞信息:(南城)南城开展“民营企业招聘月”直播带岗活动|||中专学计算机平面设计女生可以学计算机网络技术好吗
- 湛江信息:专家、大咖云集献策!国家高层次人才服务行活动走进湛江|||计算机培训学校招生
- 东莞信息:(万江)万江人社分局组织企业参加东莞云聘周周招直播带岗活动|||计算机培训学校招生
- 东莞信息:(莞城)深入园区送政策精准服务助发展|||计算机网络培训学校
- 汕头信息:市人社局加强公共服务下沉基层赋能“百千万工程”|||计算机专业维修学校
- 东莞信息:(东坑)东坑再添一家“广东省博士工作站”|||计算机专业维修学校
- 标签列表
-