Broken Authentication)在身份验证中断期间可能出现的问题不一定来自同一种原因.有无数可能的陷阱,如:URL可能包含会话ID,并在referer头中泄漏密码可能在存储或传输过程中未加密会话....跨站点脚本攻击 (XSS)攻击者将输入js标记的代码发送到网站.当此输入在未经处理的情况下返回给用户时,用户的浏览器将执行它.这是一个相当普遍的过滤失败,(本质上是注射缺陷).例如:在页面加载时,脚本将运行并用于某些权限的...,使其显示类似"admin"用户名的内容预防使用内部代码执行,不要使用外部参数来执行安全配置错误遇到配置错误的服务器和网站是很常见的,例如:在生产环境中运行启用了调试程序在服务器上启用目录列表(可能泄露某些私密信息...)运行非常古老的程序运行不必要的服务不更改默认密钥和密码(别以为没有"傻子",这种情况太多了)向潜在攻击者泄露错误处理信息(堆栈跟踪)预防周期内修改密码,修复默认端口(22,3306,3389,21如果是外部可以访问的情况下...amount=100&Account=67890 width=0 height=0 />当B下次访问网站时,浏览器错误地认为片段链接到图像.浏览器会自动发出获取图片的请求.但是,该请求没有在浏览器中显示图像