- Text
- History
In addition to the various kinds of
In addition to the various kinds of input that users enter using the browser
interface, a typical application receives numerous items of data that began their
life on the server and that are sent to the client so that the client can transmit
them back to the server on subsequent requests. This includes items such as
cookies and hidden form fields, which are not seen by ordinary users of the
application but which an attacker can of course view and modify. In these cases,
applications can often perform very specific validation of the data received. For
example, a parameter might be required to have one of a specific set of known
values, such as a cookie indicating the user’s preferred language, or to be in a
specific format, such as a customer ID number. Furthermore, when an applica-
tion detects that server-generated data has been modified in a way that is not
possible for an ordinary user with a standard browser, this often indicates
that the user is attempting to probe the application for vulnerabilities. In these cases, the application should reject the request and log the incident for potential
investigation (see the “Handling Attackers” section later in this chapter).
interface, a typical application receives numerous items of data that began their
life on the server and that are sent to the client so that the client can transmit
them back to the server on subsequent requests. This includes items such as
cookies and hidden form fields, which are not seen by ordinary users of the
application but which an attacker can of course view and modify. In these cases,
applications can often perform very specific validation of the data received. For
example, a parameter might be required to have one of a specific set of known
values, such as a cookie indicating the user’s preferred language, or to be in a
specific format, such as a customer ID number. Furthermore, when an applica-
tion detects that server-generated data has been modified in a way that is not
possible for an ordinary user with a standard browser, this often indicates
that the user is attempting to probe the application for vulnerabilities. In these cases, the application should reject the request and log the incident for potential
investigation (see the “Handling Attackers” section later in this chapter).
0/5000
Ngoài các loại đầu vào mà người dùng nhập vào bằng cách sử dụng trình duyệt giao diện, một điển hình ứng dụng nhận được rất nhiều các mặt hàng dữ liệu bắt đầu của họ cuộc sống trên các máy chủ và được gửi đến khách hàng để khách hàng có thể truyền tải họ quay lại hệ phục vụ yêu cầu tiếp theo. Điều này bao gồm các mục như cookie và biểu mẫu ẩn fields, mà không được nhìn thấy bởi các người dùng bình thường của các ứng dụng, nhưng mà kẻ tấn công của khóa học có thể xem và sửa đổi. Trong những trường hợp này, ứng dụng có thể thực hiện thường xuyên rất specific xác nhận các dữ liệu đã nhận được. Cho Ví dụ, một tham số có thể được yêu cầu để có một bộ specific được biết đến giá trị, chẳng hạn như một cookie chỉ ngôn ngữ ưa thích của người dùng, hoặc để trong một specific định dạng, chẳng hạn như một số ID khách hàng. Hơn nữa, khi một applica -tion phát hiện rằng máy chủ tạo ra dữ liệu đã là modified trong một cách mà không phải là có thể cho một người dùng bình thường với một trình duyệt tiêu chuẩn, điều này thường chỉ ra rằng người dùng là cố gắng để thăm dò các ứng dụng cho các lỗ hổng. Trong những trường hợp này, các ứng dụng nên từ chối yêu cầu và đăng nhập các sự cố tiềm năng điều tra (xem phần "xử lý những, kẻ tấn công" sau đó trong chương này).
Being translated, please wait..
Ngoài các loại đầu vào mà người dùng nhập vào bằng cách sử dụng trình duyệt
giao diện, một ứng dụng điển hình nhận được nhiều mục dữ liệu bắt đầu của
sự sống trên các máy chủ và được gửi cho khách hàng để khách hàng có thể truyền
chúng lại cho máy chủ trên yêu cầu tiếp theo. Điều này bao gồm các hạng mục như
cookie và ẩn ruộng dạng fi, mà không được nhìn thấy bởi người sử dụng thông thường của các
ứng dụng nhưng mà kẻ tấn công có thể của quá trình xem và sửa đổi. Trong những trường hợp này,
các ứng dụng thường có thể thực hiện rất cụ thể xác nhận fi c của dữ liệu nhận được. Ví
dụ, một tham số có thể được yêu cầu phải có một trong một tập fi c cụ thể đã được biết đến
các giá trị, chẳng hạn như một cookie cho thấy ngôn ngữ ưa thích của người dùng, hoặc là trong một
định dạng c fi cụ thể, chẳng hạn như một số khách hàng. Hơn nữa, khi một applica-
sự phát hiện rằng dữ liệu máy chủ tạo ra đã được Modi fi ed trong một cách mà không phải là
có thể cho một người sử dụng bình thường với một trình duyệt tiêu chuẩn, điều này thường chỉ ra
rằng người dùng đang cố gắng để thăm dò các ứng dụng cho các lỗ hổng. Trong những trường hợp này, ứng dụng sẽ từ chối yêu cầu và đăng nhập các sự cố cho khả năng
điều tra (xem "Những kẻ tấn công xử lý" sau này trong chương này).
giao diện, một ứng dụng điển hình nhận được nhiều mục dữ liệu bắt đầu của
sự sống trên các máy chủ và được gửi cho khách hàng để khách hàng có thể truyền
chúng lại cho máy chủ trên yêu cầu tiếp theo. Điều này bao gồm các hạng mục như
cookie và ẩn ruộng dạng fi, mà không được nhìn thấy bởi người sử dụng thông thường của các
ứng dụng nhưng mà kẻ tấn công có thể của quá trình xem và sửa đổi. Trong những trường hợp này,
các ứng dụng thường có thể thực hiện rất cụ thể xác nhận fi c của dữ liệu nhận được. Ví
dụ, một tham số có thể được yêu cầu phải có một trong một tập fi c cụ thể đã được biết đến
các giá trị, chẳng hạn như một cookie cho thấy ngôn ngữ ưa thích của người dùng, hoặc là trong một
định dạng c fi cụ thể, chẳng hạn như một số khách hàng. Hơn nữa, khi một applica-
sự phát hiện rằng dữ liệu máy chủ tạo ra đã được Modi fi ed trong một cách mà không phải là
có thể cho một người sử dụng bình thường với một trình duyệt tiêu chuẩn, điều này thường chỉ ra
rằng người dùng đang cố gắng để thăm dò các ứng dụng cho các lỗ hổng. Trong những trường hợp này, ứng dụng sẽ từ chối yêu cầu và đăng nhập các sự cố cho khả năng
điều tra (xem "Những kẻ tấn công xử lý" sau này trong chương này).
Being translated, please wait..
Other languages
The translation tool support: Afrikaans, Albanian, Amharic, Arabic, Armenian, Azerbaijani, Basque, Belarusian, Bengali, Bosnian, Bulgarian, Catalan, Cebuano, Chichewa, Chinese, Chinese Traditional, Corsican, Croatian, Czech, Danish, Detect language, Dutch, English, Esperanto, Estonian, Filipino, Finnish, French, Frisian, Galician, Georgian, German, Greek, Gujarati, Haitian Creole, Hausa, Hawaiian, Hebrew, Hindi, Hmong, Hungarian, Icelandic, Igbo, Indonesian, Irish, Italian, Japanese, Javanese, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Korean, Kurdish (Kurmanji), Kyrgyz, Lao, Latin, Latvian, Lithuanian, Luxembourgish, Macedonian, Malagasy, Malay, Malayalam, Maltese, Maori, Marathi, Mongolian, Myanmar (Burmese), Nepali, Norwegian, Odia (Oriya), Pashto, Persian, Polish, Portuguese, Punjabi, Romanian, Russian, Samoan, Scots Gaelic, Serbian, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenian, Somali, Spanish, Sundanese, Swahili, Swedish, Tajik, Tamil, Tatar, Telugu, Thai, Turkish, Turkmen, Ukrainian, Urdu, Uyghur, Uzbek, Vietnamese, Welsh, Xhosa, Yiddish, Yoruba, Zulu, Language translation.
- a plan to partner with a few non-profit
- say I just realized that we have the sam
- Previous studies have shown that the Tha
- Hanya satu dari satu juta pilihan, KESET
- 25 ซอย เพชรเกษม 58ถนน เพชรเกษม แขวงบางด
- نعم
- Sellers Don’t Want Any ProblemsSellers d
- روني
- ฉันเป็นคนไทยภาษาอังกฤษไม่ค่อยดีแต่ฉันอยา
- The first step in making things cleaned
- Sellers Don’t Want Any ProblemsSellers d
- งบประมาณต่ำ
- root terhubung program cloud yang cocok
- The new photos provided6 by Tirard et al
- the differences in shape decline as the
- Berjuang, berupaya tanpa pamrih
- photocopy of your passport
- A Bonded Logistic Centre (BLC) is an are
- สำเนาหนังสือเดินทางของคุณ
- Berjuang & berupaya tanpa pamrih
- ตอนนี้ลอร่าอยู่อเมริกา
- Most of the “good deals” are going to be
- a plan to partner with a few non-profit
- Hanya satu daei satu juta pilihan
