[安全有关问题]通过浏览器发送的数据是否可以伪造
[安全问题]通过浏览器发送的数据是否可以伪造?
情况是这样的,页面中有检查用户是否登录的代码,没有登陆不能进入这个页面。在这个页面有删除一些数据的功能,但是在删除数据的代码中没有再次检测用户是否已登录。
如果有人通过封包之类的修改了在正常登陆情况下获得的删除数据的封包,然后替换掉中间要删除的数据的ID是否可以向服务器正常发送并导致数据被删除,如果可以这不是很危险,现在的大部分程序中好像都没有看到再次检测用户是否已登录的代码。
------解决方案--------------------
封包? IP 数据包?
太深奥了,待楼下大虾来解
------解决方案--------------------
当然可以。
如果你担心通讯被劫持,应当使用https而不是http,甚至直接通过移动电话上网。
------解决方案--------------------
应该是不能被劫持的,因为执行删除命令的前提是开启这个页的会话状态,而既然页面有身份验证,那么不是正常登录的Session是无法启动这个页的正常会话行为的。
无论使用什么方法、协议与客户端访问Aspx网页,其会话启动的步骤都是一样的。
所谓的劫持应该只是局限于Cookies保存着用户状态的情况下发生,涉及服务器安全的信息是绝对不该由Cookie存储的,即使有些特殊情况需要存储,也要加上各种加密及验证手段。
情况是这样的,页面中有检查用户是否登录的代码,没有登陆不能进入这个页面。在这个页面有删除一些数据的功能,但是在删除数据的代码中没有再次检测用户是否已登录。
如果有人通过封包之类的修改了在正常登陆情况下获得的删除数据的封包,然后替换掉中间要删除的数据的ID是否可以向服务器正常发送并导致数据被删除,如果可以这不是很危险,现在的大部分程序中好像都没有看到再次检测用户是否已登录的代码。
------解决方案--------------------
封包? IP 数据包?
太深奥了,待楼下大虾来解
------解决方案--------------------
当然可以。
如果你担心通讯被劫持,应当使用https而不是http,甚至直接通过移动电话上网。
------解决方案--------------------
应该是不能被劫持的,因为执行删除命令的前提是开启这个页的会话状态,而既然页面有身份验证,那么不是正常登录的Session是无法启动这个页的正常会话行为的。
无论使用什么方法、协议与客户端访问Aspx网页,其会话启动的步骤都是一样的。
所谓的劫持应该只是局限于Cookies保存着用户状态的情况下发生,涉及服务器安全的信息是绝对不该由Cookie存储的,即使有些特殊情况需要存储,也要加上各种加密及验证手段。