欲知问题答案,请访问http://mdsec.net/wahh。
(1)通过客户端传送的数据如何阻止破坏性攻击?
(2)应用程序开发者希望阻止攻击者对登录功能发动蛮力攻击。由于攻击者可能以多个用户名为目标,开发者决定将登录尝试失败次数保存在一个加密cookie中,阻止任何失败次数超过5次的请求。有什么办法能够避开这种防御?
(3)某一应用程序包含一个执行严格访问控件的管理页面。该页面上有一个连接到另一台Web服务器的诊断功能链接,只有管理员能够访问这些功能。不执行另一种验证机制,下列哪一种(如果有的话)客户端机制可用于为诊断功能提供安全的访问控件?要选择一个解决方案,还需要了解其他信息吗?
(a)诊断功能能够检查HTTP Referer消息头,证实请求由主管理页面提交。
(b)诊断功能能够验证收到的cookie,证实其中包含访问主应用程序所需的有效会话令牌。
(c)主应用程序可在请求中的一个隐藏字段中设置一个验证令牌。诊断功能能够确认这一点,证实用户在主应用程序中有一个会话。
(4)如果一个表单字段的属性为disabled=true,那么它就不会和表单的其他内容一起提交。如何才能改变这种情况呢?
(5)应用程序可采取什么方法确保客户端执行了输入确认?
[1] 本书中文版《IDA Pro权威指南(第2版)》已由人民邮电出版社出版,读者可登录图灵社区(ituring.com.cn)本书页面查看相关信息。——编者注