Dalam artikel sebelumnya, kami mengetahui tentang ralat XSS (Cross Site Scripting) dan eksploitasi sebenar XSS Reflected. Terdapat satu lagi jenis XSS yang dianggap lebih berbahaya: XSS yang disimpan.
Tidak seperti Reflected, yang secara langsung menyerang beberapa mangsa yang disasarkan oleh penggodam, Stored XSS menyasarkan lebih ramai mangsa. Ralat ini berlaku apabila aplikasi web tidak menyemak data input dengan teliti sebelum menyimpannya ke pangkalan data (di sini saya menggunakan konsep ini untuk merujuk kepada pangkalan data, fail atau kawasan lain yang menyimpan data aplikasi. web).
Dengan teknik Stored XSS, penggodam tidak mengeksploitasinya secara langsung tetapi mesti melakukannya dalam sekurang-kurangnya 2 langkah.
Pertama, penggodam menggunakan titik input yang tidak ditapis (bentuk, input, kawasan teks...) untuk memasukkan kod berbahaya ke dalam pangkalan data.
Seterusnya, apabila pengguna mengakses aplikasi web dan melakukan operasi yang berkaitan dengan data yang disimpan ini, kod penggodam akan dilaksanakan pada pelayar pengguna.
Pada ketika ini, penggodam nampaknya telah mencapai matlamatnya. Atas sebab ini, teknik XSS Tersimpan juga dipanggil XSS tertib kedua.
Senario eksploitasi diterangkan seperti berikut:
XSS yang dicerminkan dan XSS yang disimpan mempunyai dua perbezaan utama dalam proses serangan.
Daripada perkara ini, dapat dilihat bahawa Stored XSS jauh lebih berbahaya daripada Reflected XSS, subjek yang terjejas boleh menjadi semua pengguna aplikasi web tersebut. Dan jika mangsa mempunyai peranan pentadbiran, terdapat juga risiko rampasan web.
Adakah anda melihat pemberitahuan pengaktifan Windows 10 di sudut kanan skrin? Artikel ini akan membimbing anda cara memadamkan notis permintaan hak cipta pada Windows 10.
Baru-baru ini Microsoft mengeluarkan kemas kini kumulatif terkini untuk pengguna PC Windows 10 yang dipanggil Build 14393.222. Kemas kini yang dikeluarkan untuk Windows 10 ini terutamanya membetulkan pepijat berdasarkan maklum balas pengguna dan meningkatkan pengalaman prestasi sistem pengendalian.
Adakah anda mempunyai komputer pada rangkaian tempatan anda yang memerlukan akses luaran? Menggunakan hos benteng sebagai penjaga pintu untuk rangkaian anda boleh menjadi penyelesaian yang baik.
Kadangkala anda mungkin perlu memadamkan log peristiwa lama sekaligus. Dalam panduan ini, Quantrimang.com akan menunjukkan kepada anda 3 cara untuk memadam semua log peristiwa dalam Windows 10 Event Viewer dengan cepat.
Jika anda lebih suka menggunakan papan kekunci klasik lama, seperti IBM Model M, yang tidak termasuk kekunci Windows fizikal, terdapat kaedah mudah untuk menambah lagi, dengan meminjam kunci yang anda jarang gunakan. .
WindowTop ialah alat yang mempunyai keupayaan untuk meredupkan semua tetingkap aplikasi dan program yang dijalankan pada komputer Windows 10. Atau anda boleh menggunakan antara muka latar belakang gelap pada tingkap.
Dalam banyak artikel sebelumnya, kami telah menyebut bahawa kekal tanpa nama dalam talian adalah sangat penting. Maklumat peribadi dibocorkan setiap tahun, menjadikan keselamatan dalam talian semakin diperlukan. Itulah juga sebab kita harus menggunakan alamat IP maya. Di bawah, kita akan belajar tentang kaedah untuk mencipta IP palsu!
Bar Bahasa pada Windows 8 ialah bar alat bahasa kecil yang direka untuk dipaparkan secara automatik pada skrin Desktop. Walau bagaimanapun, ramai orang ingin menyembunyikan bar bahasa ini pada Bar Tugas.
Memaksimumkan kelajuan Internet adalah penting untuk mengoptimumkan sambungan rangkaian anda. Anda boleh menikmati hiburan dan pengalaman kerja yang optimum menggunakan komputer, TV sedia Internet, konsol permainan, dsb.
Kesambungan wayarles adalah satu keperluan hari ini dan kerana itu, keselamatan wayarles adalah penting untuk memastikan keselamatan dalam rangkaian dalaman anda.
