描述
Web参数篡改攻击基于对客户端和服务器之间交换的参数的操纵,以修改应用程序数据,例如用户凭证和权限,产品的价格和数量等。通常,这些信息以cookie,隐藏形式存储字段或URL查询字符串,并用于增加应用程序功能和控制。
这种攻击可以由恶意用户执行,他们为了自己的利益而利用应用程序,或者希望利用中间人攻击来攻击第三人的攻击者。在这两种情况下,大多数情况下都使用Webscarab和Paros代理等工具。
攻击成功取决于完整性和逻辑验证机制错误,并且其利用可能导致其他后果,包括XSS,SQL注入,文件包含和路径泄露攻击。
例子
例1
表单字段的参数修改可以被认为是Web参数篡改攻击的典型例子。
例如,考虑可以在应用程序页面上选择表单字段值(组合框,复选框等)的用户。当这些值由用户提交时,它们可以被攻击者获取并任意操纵。
例2
当Web应用程序使用隐藏字段存储状态信息时,恶意用户可以篡改存储在浏览器中的值并更改引用的信息。例如,电子商务购物网站使用隐藏字段来引用其项目,如下所示:
<input type =“hidden”id =“1008”name =“cost”value =“70.00”>
在这个例子中,攻击者可以修改特定项目的“价值”信息,从而降低其成本。
以上就是潍坊培训学校给大家做的内容详解,更多关于java课程 的学习,请继续关注潍坊培训学校。