内容欺骗
内容欺骗是一个术语,用于定义恶意程序员的攻击类型,在这种攻击中,他们通过文本注入或html注入向用户展示假冒网站,将其视为合法网站。当Web应用程序不能正确处理用户使用搜索等提供的数据时,攻击者可以利用这种情况并注入用户不注意的其他参数。这导致着陆到另一个与原始网页相同的网页。该页面可能要求用户输入机密信息,如果该信息被泄露,将导致严重伤害。
注入的两种基本类型是
HTML注入
文字注入
HTML注入
攻击者找到了易受攻击的Web应用程序。
攻击者通常通过电子邮件以任何方式将修改后的URL发送给用户。此URL已插入文本。
通过单击URL,用户将导航到攻击者网页,看起来很合法。
用户询问了诸如用户名,密码,卡号等信息。
此信息被传输到攻击者服务器。
例
一些站点通常也在div标签内将url中的html内容作为参数传递,这会造成很大的漏洞。
www.testing.com/siteAdcontent?divMessage=<h1>单击此处!</h1>可以将其修改为-
www.testing.com/siteAdcontent?divMessage=<hack><h1>请勿单击!</h1><hack>
文字注入
攻击者找到了易受攻击的Web应用程序。
攻击者修改URL中传递的参数值。
格式错误的页面请求链接已发送到攻击者服务器。
现在,有效的网页会根据参数显示错误信息。
通过请求参数传递消息时发生。
例
www.testing.com/loginAction?userName=abc&password=123可以附加为
www.testing.com/loginAction?errorMessage=PasswordEmpty这个新的URL可以将用户带到显示虚假内容的页面,并可能冒犯用户。
热门推荐
10 广西考试祝福语结婚简短
11 猪年祝福语简短小孩
12 元旦祝福语送长辈简短
13 恭喜二宝祝福语简短
14 祝福语暖心话简短
15 国庆中秋祝福语简短兄弟
16 朋友订婚的祝福语简短
17 送弟弟中秋祝福语简短
18 爱生日祝福语简短独特