标签:span 嵌入 hack get 内容 简单 是什么 查询 wget
试 卷
姓名________ 学号________
首先我们来看这个,试卷的名字和编号填写,这个部分有“漏洞”吗?有
学生的姓名和编号都写在这儿,没有做任何保护措施,因此,你只要偷看了某人的试卷上的这部分内容,然后把你的试卷的上的姓名和考生编码写成和他一样的即可伪装出他的身份。
漏洞攻击成功
一、诗歌补写
1 床前没月光,___________。
2 春眠不觉晓,___________。
这道题有漏洞吗?有
这道题的答案本来应该是“疑似地上霜”和“处处闻啼鸟”
But,问题中,并没有规定答案里不能添加标点符号,所以,我完全可以把“疑是地上霜,举头望明月,低头思故乡”以及“处处闻啼鸟,夜来风雨声,花落知多少”当做答案写进去。
漏洞再次进攻成功 :P
二、数学运算(在括号内填入数字)
3 500 400 * 3 / 2 1 = ( )
4 ( 1 2 ) / 3 * 400 500 = ( )
这个问题有漏洞吗?有
出题者规定了只能填入数字,但却没有说是什么数字,也没有规定多少位,那么我的答案可以是 中文数字「壹佰壹拾圆」、罗马数字「MCI」或「0000000000001101」。
漏洞第三次进攻成功 :D
三、技术实践
我们打开一个网页提交登录或者是搜索都会经过服务器做一系列的处理又回到浏览器,在这个过程中我们提交的数据会被带入到一系列的填空题中,有的是我们能猜到的,有的是意想不到的,有的会经过SQL进行查询进行填空,有的会被带入到命令行中进行填空,最后又把结果返回给浏览器进行填空,也最后就是我们到的结果了。
了解了这几个漏洞之后我们可以看到原理都类似,也很简单,当然我们不再局限于概念名词就会发现 web 安全的大部分漏洞都很简单。更多时候,发现一个复杂的漏洞需要是只是耐心。
来自: http://www.91ri.org/16534.html
标签:span 嵌入 hack get 内容 简单 是什么 查询 wget
原文地址:http://www.cnblogs.com/ssooking/p/6178359.html