本文指出在WEB开发中不应通过GET请求来修改数据的重要性,并批评了某些网站未遵循此基本原则导致的安全漏洞。文章还提到了一些具体的例子,如XSS过滤不完全等。
连一个十一流水平的WEB开发人员都知道的“不要根据GET请求的内容修改数据”都没有遵守。
如果所有更新操作的数据都检查一下是否是POST请求,会出现被人利用URL这种弱智的方法攻击吗?
攻击者甚至没有利用CSRF/XSS这些稍微智能一点的方法。几个月前测试过虽然首页显示的内容进行了
XSS过虑,但查看详细页面竟然能成功弹出XSS(Android手机客户端),这说明对用户输入的内容并不是
所有出口都进行了过虑。
不知道新浪是否有安信息全官这一角色,反正安全问题还处于入门级水平。
新浪被黑,完全和技术无关,101%的安全意识问题。
最新推荐文章于 2025-07-28 23:38:53 发布
扫一扫
3765
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
