客户端脚本不安全讨论
我一直有个疑问,总听人说客户端脚本不安全,其实这个我也知道,因为每个用户都可以用查看源文件方式看到完全的客户端脚本,那我就想了,即使被他们看到了又如何,他们即使修改了客户端脚本也不能把他们修改后的文件上传到我们的服务器,那我们还是安全的,这里面的细节我不是很清楚,他们具体是怎么样利用客户端脚本来攻击我们,比如有些用户去掉客户端脚本验证,如果没有服务器验证,这样就可以直接将数据添加到数据中. --------------------编程问答-------------------- 关注 --------------------编程问答-------------------- 有谁知道的?可以指点一下,谢谢 --------------------编程问答-------------------- 首先,我觉得你应该明确一点什么是通讯。你使用过telnet吗?你可以使用telnet来访问甚至调试http服务器、邮件服务器、ftp服务器等等各种各样的服务器。接下来,任何写点稍微专业一点的通讯程序(例如经常进行socket编程的最普通的程序员)大多都会使用tcp、http等的调试技术。例如我在csdn上登录的时候,我跟踪到它使用Get命令访问了
GET /sso/crossdomain?u=sp1234&d=20081229175107&s=a23c7e10ede3adf2501faaaaaaaad79d HTTP/1.1
Accept: */*
Referer: http://passport.csdn.net/CrossDomain_All.aspx
Accept-Language: zh-cn
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; InfoPath.2; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Connection: Keep-Alive
Host: passport.itcast.net
而服务器于是返回了:
HTTP/1.1 200 OK
Date: Mon, 29 Dec 2008 09:51:07 GMT
Server: Apache/2.2.6 (Unix) PHP/5.2.4
X-Powered-By: PHP/5.2.4
Set-Cookie: PHPSESSID=f198f03c15a363344444444292a48268; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
P3P: CP="CAO PSA OUR"
Set-Cookie: UserName=sp1234; expires=Mon, 12-Jan-2009 09:51:07 GMT; path=/; domain=itcast.net
Set-Cookie: PName=32e080f86192a23970c535b10077957611b8fb1e852837212e9f8d; expires=Mon, 12-Jan-2009 09:51:07 GMT; path=/; domain=itcast.net
Content-Length: 23
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=utf-8
Content-Language: zh-CN
login_status="success";
之类的。任何与服务器的交互逃不出监视、跟踪、伪造等简单操作。无需经过我的浏览器去提交伪造信息。 --------------------编程问答-------------------- 知道了你所用的方法,就可以找到相对的漏洞··· --------------------编程问答-------------------- 呵呵,不要使用上面的信息去伪造我。我修改了贴出的几个信息,并且关闭了客户端进程。 --------------------编程问答-------------------- 那么我们还要具体地学哪些块,才能做这些有趣的坏事呢?
--------------------编程问答--------------------
或者是光用工具,还有怎么分析?请教.
--------------------编程问答--------------------
up
补充:.NET技术 , ASP.NET
