伪静态对于 web 安全有没有意义，或者说有多大意义

2015-03-15 22:21:00 +08:00

ultraqs

貌似伪静态站的SQL注入中招率会比直接get参数的站低，故此疑

2572 次点击

所在节点

7 条回复

julyclyde

2015-03-15 23:23:32 +08:00

考虑到rewrite规则也是个坑……只存在统计意义上的低而已

NewYear

2015-03-16 00:13:22 +08:00

@julyclyde
先引用楼主的标题，并且断章取义
“web安全有没有意义，或者说有多大意义”

然后引用你的回答，断章取义
“只存在统计意义上的低而已”

Actrace

2015-03-16 08:27:04 +08:00

伪静态是为过去的搜索引擎优化检索的一种方式。

b821025551b

2015-03-16 10:33:35 +08:00

伪静态和安全有什么关系吗？据我说知是给搜索引擎爬内容的，SEO优化

smileawei

2015-03-16 10:39:03 +08:00

额伪静态也是强迫症患者的福音吧。

Ryans

2015-03-16 11:47:34 +08:00

sqlmap 也支持伪静态的注入，所以如果后台代码有问题的话，还是会中招

例如 python sqlmap.py -u xxxx.com/page/2014/753*

ultraqs

2015-03-16 21:58:20 +08:00

@b821025551b 问题在于很多伪静态网站在提交参数修改之后不会返回错误的查询结果，而是直接抛给你一个404页面，即使没有过滤参数也得不到注入的返回结果

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.