- 聯系電話 - - 來校路線 - 廣州天河區五山路金華園區3樓307(華工南門)
您現在的位置: 廣州電腦培訓學校 >> 電腦培訓 >> 網絡工程培訓 >> 正文  >
wap網站的安全之session
發布人:廣州北大青鳥電腦學校 點擊數: 更新時間:2011-9-15 12:42:32

  現在WAP的網站也不少了吧。手機現在非常普及

  不過手機網站也有漏洞

  比如 不用XSS即可盜取sid 之后登錄。

  來做個比喻,比如廣州電腦培訓的學生在某個手機網站注冊之后是 XXX.COM/?sid=123123123

  當然猜是不可能了

  這就要借助網站日志的來路記錄

  在這個論壇評個論,內容是http://www.safe121.com,發表出去,URL被轉換成連接了

  讓人點擊了,他的SID就被日志記錄下來了(來路)

  所以這就產生了跳過驗證,以前QQ郵箱就有這個問題

  舉個例子,我寫了個記錄來路的php:

   

       

 

 

         假如他點擊了

 

        

 

  就被記錄了。

  這種漏洞的修復方法也很簡單:

  1.屏蔽URL的連接

  2.采用跳轉,比如強制替換成這樣 http://www.hdmpyz.live/no-link.php?links=http://www.google.com

 

  • 上一個課程:
  • 下一個課程:
  • 走進學校|電腦課程|網站導航|聯系電話020-85566215

    備案/許可證編號為粵ICP備11070650號-4

    學校地址:廣州市天河區五山路華南理工大學國家科技園金華園區3樓C307

    Copyright @ 2003-2016 www.hdmpyz.live All Rights Reserved.Optimized for 1024x768

    版權所有:廣州青大教育信息咨詢有限公司

    55125中国彩吧牛彩网