本章主要说的是,在web 世界中,存在着大量的漏洞,作为服务的提供方,有很多方面不太可能注意到,比如一个经典的问题,代码中可能过滤掉了 <script> 这种脚本,但是,如果攻击方传输了 <scr<script>ipt> 这个时候,就尴尬了,因为替换掉一个之后,就完成了第二次的文本输出。
还有其他的几个方面
- url 编码问题,也可以重复多次编码,应用程序不可能做无限的校验,那么,这样就存在了漏洞,让攻击者有机可乘
- 用户输入中的其他字符,如 . / \ 等等,都可能有同样的方法被攻击
- 安全审计,需要增加日志,并且审计的日志需要特殊保存,不能在审计日志被攻击了