查询中接受的主体参数
请有实际操作经验者帮忙解答:
测试类型:
应用程序级别测试
威胁分类:
信息泄露
原因:
Web 应用程序编程或配置不安全
安全性风险:
可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置
可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
技术描述:
GET 请求设计的目的在于查询服务器,而 POST 请求用于提交数据。但是,除了技术目的之外,攻击查询参数比攻击主体参数更容易,因为向原始站点发送链接或在博客或注释中发布链接更容易,而且得到的结果比另一种方法更好,为了攻击带有主体参数的请求,攻击者需要创建其中包含表单的页面,当受害者访问表单时就会提交表单。说服受害者访问他不了解的页面比让受害者访问原始站点要难很多。因此,不建议支持可到达查询字符串的主体参数。