基于SQL SERVER的分页存储过程
2007-11-11 12:35:25 来源:WEB开发网核心提示: 源代码检测工具厂商Fortify Software日前发布报告指出,JavaScript可被用来抓取未适当防卫的Web 2.0网站数据,基于SQL SERVER的分页存储过程(11), Fortify称此问题为“JavaScript挟持”,并在报告中详细解释该主题,借以拒绝恶意的请求,此外,但对长期追踪网络安全的人士
源代码检测工具厂商Fortify Software日前发布报告指出,JavaScript可被用来抓取未适当防卫的Web 2.0网站数据。
Fortify称此问题为“JavaScript挟持”,并在报告中详细解释该主题,但对长期追踪网络安全的人士而言,这已经不是新闻。
JavaScript是Web 2.0盛行的要角,但恶意的JavaScript,尤其是结合了日渐普遍的网站安全瑕疵,可能引发潜藏的网络攻击。
遭挟持的恶意JavaScript可攻击同样使用JavaScript的许多网络应用软件的数据传输机制,未获授权的攻击者便可藉此读取当中机密的数据。Whitehat Security的Jeremiah Grossman去年就利用Google Gmail的同类瑕疵示范这种攻击。由于Gmail用未防护的JavaScript传输数据,攻击者可偷取Gmail用户的通讯簿。
Fortify检查了12种受欢迎的网络程序编写工具,发现只有一种幸免于难。该公司表示:只有DWR 2.0装设了防范JavaScript挟持的机制。其它架构并未明确地提供任何防护,也没有在使用说明中提及任何安全顾虑。
Fortify检查了四种服务器整合工具组、Direct Web Remoting(DWR)、微软ASP.Net ajax(动态网站静态化)(Atlas)、Xajax(动态网站静态化)和Google Web Toolkit(GWT),及八种客端软件组:Prototype、Script.aculo.us、Dojo、Moo.fx、jQuery、Yahoo UI、Rico和MochiKit。
要防范JavaScript挟持,Fortify建议Web 2.0应用软件应在每一次请求纳入一个难以猜出的参数,借以拒绝恶意的请求。此外,应防止黑客利用合法客端的功能直接执行JavaScript。
- ››sql server自动生成批量执行SQL脚本的批处理
- ››sql server 2008亿万数据性能优化
- ››SQL Server 2008清空数据库日志方法
- ››sqlserver安装和简单的使用
- ››SQL Sever 2008 R2 数据库管理
- ››SQL SERVER无法安装成功,sqlstp.log文件提示[未发...
- ››Sql Server中通过父记录查找出所有关联的子记录
- ››基于IP地址的vsftp服务器
- ››SqlServer触发器、存储过程和函数
- ››SQL Server 中的事务(含义,属性,管理)
- ››Sqlite数据库插入和读取图片数据
- ››Sql server 2005拒绝了对对象 'xx表' (数...
更多精彩
赞助商链接