Студопедия.Орг Главная | Случайная страница | Контакты | Мы поможем в написании вашей работы!  
 

Действительно заполняется так, как мы и предполагали. Но проблема в том, что никто не помешает



воспользоваться клиентом, ведущим себя менее добросовестно, к примеру, вот таким скриптом: (U/usr/bin/peri -

w use Socket:

$proto^getprotobyname('top'),

sockct(Socket_Handle, PFJNET, SOCK_STREAM, $proto), Sport = 80:

$host= "www. victim, corn": $sin = sockaddrJ.n($port, inet_aton($host)):

connect(Socket_Handle, $sin);

send Socket_Handle, "GET /cgi-bin/env.cg].?param1=vaU&param2=val2 HTTP/I, 0\n", 0; sendSocket_Handle,

"Reterer: any referer you wish\n",0; send Socket_Handle, "User-Agent: myagent\n",0: send Socket_Handle,"\n",0:

while (<Socket_Handle> {

print $_: }

В нашем случае имитируется отправление данных формы методом GET, но для имитации метода POST

(пример работы с POST приведен далее) тоже пет серьезных препятствий. С точки зрения безопасности эти

Методы

примерно равнозначны. Некоторое предпочтение можно отдать 'POST, поскольку GET передает всю

Информацию непосредственно в URL, что делает ее более доступной для перехвата. Представим ситуацию,

Когда некоторая форма требует ввода имени и пароля и передает их методом GET. Далее динамически

Формируется страница, имеющая ссылку на другой сервер. Если посетитель уйдет по этой ссылке, то в качестве

Referer в log-файл сервера будет записан тот самый URL, в котором открыто прописаны имя пользователя и его





Дата публикования: 2014-11-04; Прочитано: 293 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!



studopedia.org - Студопедия.Орг - 2014-2024 год. Студопедия не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования (0.006 с)...