好奇心是很多攻擊者的主要?jiǎng)訖C(jī)，語(yǔ)義URL攻擊就是一個(gè)很好的例子。此類(lèi)攻擊主要包括對(duì)URL進(jìn)行編輯以期發(fā)現(xiàn)一些有趣的事情。例如，如果用戶(hù)chris點(diǎn)擊了你的軟件中的一個(gè)鏈接并到達(dá)了頁(yè)面http://example.org/private.php?user=chris, 很自然地他可能會(huì)試圖改變user的值，看看會(huì)發(fā)生什么。例如，他可能訪(fǎng)問(wèn)http://example.org/private.php?user=rasmus來(lái)看一下他是否能看到其他人的信息。雖然對(duì)GET數(shù)據(jù)的操縱只是比對(duì)POST數(shù)據(jù)稍為方便，但它的暴露性決定了它更為頻繁的受攻擊，特別是對(duì)于攻擊的新手而言。

大多數(shù)的漏洞是由于疏漏而產(chǎn)生的，而不是特別復(fù)雜的原因引起的。雖然很多有經(jīng)驗(yàn)的程序員能輕易地意識(shí)到上面所述的對(duì)URL的信任所帶來(lái)的危險(xiǎn)，但是常常要到別人指出才恍然大悟。

為了更好地演示語(yǔ)義URL攻擊及漏洞是如何被疏忽的，以一個(gè)Webmail系統(tǒng)為例，該系統(tǒng)主要功能是用戶(hù)登錄察看他們自己的郵件。任何基于用戶(hù)登錄的系統(tǒng)都需要一個(gè)密碼找回機(jī)制。通常的方法是詢(xún)問(wèn)一個(gè)攻擊者不可能知道的問(wèn)題（如你的計(jì)算機(jī)的品牌等，但如果能讓用戶(hù)自己指定問(wèn)題和答案更佳），如果問(wèn)題回答正確，則把新的密碼發(fā)送到注冊(cè)時(shí)指定的郵件地址。

對(duì)于一個(gè)Webmail系統(tǒng)，可能不會(huì)在注冊(cè)時(shí)指定郵件地址，因此正確回答問(wèn)題的用戶(hù)會(huì)被提示提供一個(gè)郵件地址（在向該郵件地址發(fā)送新密碼的同時(shí)，也可以收集備用郵件地址信息）。下面的表單即用于詢(xún)問(wèn)一個(gè)新的郵件地址，同時(shí)他的帳戶(hù)名稱(chēng)存在表單的一個(gè)隱藏字段中：

CODE:

<form action='reset.php' method='GET'>

<input type='hidden' name='user' value='chris' />

<p>Please specify the email address where you want your new password sent:</p>

<input type='text' name='email' /><br />

<input type='submit' value='Send Password' />

</form>

可以看出，接收腳本reset.php會(huì)得到所有信息，包括重置哪個(gè)帳號(hào)的密碼、并給出將新密碼發(fā)送到哪一個(gè)郵件地址。

如果一個(gè)用戶(hù)能看到上面的表單（在回答正確問(wèn)題后），你有理由認(rèn)為他是chris帳號(hào)的合法擁有者。如果他提供了[email protected]作為備用郵件地址，在提交后他將進(jìn)入下面的URL：

CODE:

http://example.org/reset.php?user=chris&email=chris%40example.org

該URL出現(xiàn)在瀏覽器欄中，所以任何一位進(jìn)行到這一步的用戶(hù)都能夠方便地看出其中的user和mail變量的作用。當(dāng)意思到這一點(diǎn)后，這位用戶(hù)就想到[email protected]是一個(gè)非常酷的地址，于是他就會(huì)訪(fǎng)問(wèn)下面鏈接進(jìn)行嘗試：

CODE:

http://example.org/reset.php?user=php&email=chris%40example.org

如果reset.php信任了用戶(hù)提供的這些信息，這就是一個(gè)語(yǔ)義URL攻擊漏洞。在此情況下，系統(tǒng)將會(huì)為php帳號(hào)產(chǎn)生一個(gè)新密碼并發(fā)送至[email protected]，這樣chris成功地竊取了php帳號(hào)。

如果使用session跟蹤，可以很方便地避免上述情況的發(fā)生：

CODE:

<?php

session_start();

$clean = array();

$email_pattern = ’/^[^@s<&>]+@([-a-z0-9]+.)+[a-z]{2,}$/i’;

if (preg_match($email_pattern, $_POST[’email’]))

{

$clean[’email’] = $_POST[’email’];

$user = $_SESSION[’user’];

$new_password = md5(uniqid(rand(), TRUE));

if ($_SESSION[’verified’])

{

/* Update Password */

mail($clean[’email’], ’Your New Password’, $new_password);

}

}

?>

盡管上例省略了一些細(xì)節(jié)（如更詳細(xì)的email信息或一個(gè)合理的密碼），但它示范了對(duì)用戶(hù)提供的帳戶(hù)不加以信任，同時(shí)更重要的是使用session變量為保存用戶(hù)是否正確回答了問(wèn)題($_SESSION[’verified’])，以及正確回答問(wèn)題的用戶(hù)($_SESSION[’user’])。正是這種不信任的做法是防止你的應(yīng)用產(chǎn)生漏洞的關(guān)鍵。

這個(gè)實(shí)例并不是完全虛構(gòu)的。它是從2003年5月發(fā)現(xiàn)的Microsoft Passport的漏洞中得到的靈感。請(qǐng)?jiān)L問(wèn)http://slashdot.org/article.pl?sid=03/05/08/122208 看具體實(shí)例、討論及其它信息。