内容欺骗
内容欺骗是一个术语,用于定义恶意程序员的攻击类型,在这种攻击中,他们通过文本注入或html注入向用户展示假冒网站,将其视为合法网站。当Web应用程序不能正确处理用户使用搜索等提供的数据时,攻击者可以利用这种情况并注入用户不注意的其他参数。这导致着陆到另一个与原始网页相同的网页。该页面可能要求用户输入机密信息,如果该信息被泄露,将导致严重伤害。
注入的两种基本类型是
HTML注入
文字注入
HTML注入
攻击者找到了易受攻击的Web应用程序。
攻击者通常通过电子邮件以任何方式将修改后的URL发送给用户。此URL已插入文本。
通过单击URL,用户将导航到攻击者网页,看起来很合法。
用户询问了诸如用户名,密码,卡号等信息。
此信息被传输到攻击者服务器。
例
一些站点通常也在div标签内将url中的html内容作为参数传递,这会造成很大的漏洞。
www.testing.com/siteAdcontent?divMessage=<h1>单击此处!</h1>可以将其修改为-
www.testing.com/siteAdcontent?divMessage=<hack><h1>请勿单击!</h1><hack>
文字注入
攻击者找到了易受攻击的Web应用程序。
攻击者修改URL中传递的参数值。
格式错误的页面请求链接已发送到攻击者服务器。
现在,有效的网页会根据参数显示错误信息。
通过请求参数传递消息时发生。
例
www.testing.com/loginAction?userName=abc&password=123可以附加为
www.testing.com/loginAction?errorMessage=PasswordEmpty这个新的URL可以将用户带到显示虚假内容的页面,并可能冒犯用户。
热门推荐
10 对患者生日祝福语简短
11 结婚祝福语简短装备
12 周岁祝福语学生文案简短
13 订婚领证祝福语简短精辟
14 导师获奖祝福语大全简短
15 新婚购房祝福语简短精辟
16 牛年祝福语简短的爱人
17 送芒果的祝福语简短
18 送给学长毕业祝福语简短