حمله به برنامههای وبی (۲):
این نوع حمله خیلی مشابه به حملات تزریق اسکریپت است و در مواقعی اتفاق میافتد که کد اسکریپت توسط صفحات پویای وب سایر سایتها در مرورگر وب وارد شود. در این نوع حملات، هدف هکر خود سایت نیست، بلکه کاربران آن مد نظر میباشند. فرض کنید که یک سایت عبارات جستجو را با استفاده از مجموعه QueryString (در صورتی که برنامه با استفاده از فناوری .NET توسعه داده شده باشد) و از طریق متد HTTP Get دریافت میکند، و سایر سایتها میتوانند عبارات جستجو را با عبارت پرس و جوس Search ارسال کنند.
YourSite.com?Search=asp.net
صفحه جستجو رشته پرس و جو را خوانده و در پایگاه داده به دنبال عبارت مورد نظر میگردد و در نهایت نتیجه جستجو را نمایش میدهد. در صورتی که دادهای متناسب با عبارت مورد نظر در پایگاه داده وجود نداشته باشد، پیامی مبنی بر یافت نشدن جواب تولید و نمایش داده خواهد شد.
در صفحه جستجو قالبی کدهای زیر وجود دارند: