技巧與問答

? Web應用程序安全的核心問題是什么？

（1）用戶并不限于僅使用一種Web瀏覽器訪問應用程序。大量各種各樣的工具可以協助攻擊Web應用程序，這些工具既可整合在瀏覽器中，也可獨立于瀏覽器運作。這些工具能夠提出普通瀏覽器無法提交的請求，并能夠迅速生成大量的請求，查找和利用安全問題達到自己的目的。

（2）用戶可干預客戶端與服務器間傳送的所有數據，包括請求參數、Cookies和HTTP信息頭。可輕易避開客戶端執行的任何安全控件，如輸入確認驗證。

（3）絕大多數針對Web應用程序的攻擊都涉及向服務器提交輸入，旨在引起一些應用程序設計者無法預料或不希望出現的事件。以下舉例說明為實現這種目的而提交的專門設計的輸入。

① 用戶可按任何順序發送請求，并可在應用程序要求之外的不同階段不止一次提交或根本不提交參數。用戶的操作可能與開發人員對用戶和應用程序交互方式做出的任何假設完全不同。

② 改變由后端數據庫處理的某個輸入，從而注入一個惡意數據庫查詢以訪問敏感數據。

③ 利用應用程序處理過程中的邏輯錯誤刪除某些正常提交的參數。

④ 更改以隱藏的HTML表單字段提交的產品價格，以更低廉的價格欺詐性地購買該產品。

⑤ 修改在HTTP Cookies中傳送的會話令牌，劫持另一個驗證用戶的會話。