数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理
化学
生物
数学
英语
经济学
心理学
社会学
服装学
法学内容欺骗
内容欺骗是指恶意程序员使用文本注入或HTML注入将伪造网站伪装成合法网站以欺骗用户的一种攻击类型。当Web应用程序没有正确处理用户通过搜索等方式提供的数据时,攻击者可以利用这种情况注入额外的参数,而这些参数不会被用户注意到。这会导致用户跳转到另一个看起来与原始网页相同的网页。该页面可能会要求用户输入机密信息,如果泄露则会导致严重损害。
两种基本的注入类型是:
- HTML注入
- 文本注入
HTML注入
- 攻击者找到易受攻击的Web应用程序。
- 攻击者通过任何方式(通常通过电子邮件)向用户发送修改后的URL。此URL包含注入的文本。
- 点击URL后,用户将被导航到攻击者的网页,该网页看起来像合法的网页。
- 要求用户输入用户名、密码、银行卡密码等信息。
- 这些信息将传输到攻击者的服务器。
示例
某些网站也会在URL中将HTML内容作为参数传递,通常位于div标签内。这会导致很大的安全漏洞。
www.testing.com/siteAdcontent?divMessage=<h1>点击此处!!</h1> 可以修改为:
www.testing.com/siteAdcontent?divMessage=<hack><h1>请勿点击!!</h1><hack>
文本注入
- 攻击者找到易受攻击的Web应用程序。
- 攻击者修改了URL中传递的参数值。
- 畸形的页面请求链接被发送到攻击者的服务器。
- 一个有效的网页现在显示根据参数显示的虚假信息。
- 发生在消息通过请求参数传递时。
示例
www.testing.com/loginAction?userName=abc&password=123 可以附加为:
www.testing.com/loginAction?errorMessage=PasswordEmpty 这个新的URL可能会将用户带到一个显示虚假内容并可能冒犯用户的页面。
更新于:2020年8月4日
468 次浏览
广告