資料結構
網路
關係資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理
化學
生物
數學
英語
經濟學
心理學
社會學
服裝學
法學內容欺騙
內容欺騙是指惡意程式設計師使用文字注入或HTML注入將偽造網站偽裝成合法網站以欺騙使用者的一種攻擊型別。當Web應用程式沒有正確處理使用者透過搜尋等方式提供的資料時,攻擊者可以利用這種情況注入額外的引數,而這些引數不會被使用者注意到。這會導致使用者跳轉到另一個看起來與原始網頁相同的網頁。該頁面可能會要求使用者輸入機密資訊,如果洩露則會導致嚴重損害。
兩種基本的注入型別是:
- HTML注入
- 文字注入
HTML注入
- 攻擊者找到易受攻擊的Web應用程式。
- 攻擊者透過任何方式(通常透過電子郵件)向用戶傳送修改後的URL。此URL包含注入的文字。
- 點選URL後,使用者將被導航到攻擊者的網頁,該網頁看起來像合法的網頁。
- 要求使用者輸入使用者名稱、密碼、銀行卡密碼等資訊。
- 這些資訊將傳輸到攻擊者的伺服器。
示例
某些網站也會在URL中將HTML內容作為引數傳遞,通常位於div標籤內。這會導致很大的安全漏洞。
www.testing.com/siteAdcontent?divMessage=<h1>點選此處!!</h1> 可以修改為:
www.testing.com/siteAdcontent?divMessage=<hack><h1>請勿點選!!</h1><hack>
文字注入
- 攻擊者找到易受攻擊的Web應用程式。
- 攻擊者修改了URL中傳遞的引數值。
- 畸形的頁面請求連結被髮送到攻擊者的伺服器。
- 一個有效的網頁現在顯示根據引數顯示的虛假資訊。
- 發生在訊息透過請求引數傳遞時。
示例
www.testing.com/loginAction?userName=abc&password=123 可以附加為:
www.testing.com/loginAction?errorMessage=PasswordEmpty 這個新的URL可能會將使用者帶到一個顯示虛假內容並可能冒犯使用者的頁面。
更新於:2020年8月4日
468 次瀏覽
廣告