2.6 问题

欲知问题答案，请访问http://mdsec.net/wahh。

(1) 为什么说应用程序处理用户访问的机制是所有机制中最薄弱的机制？

(2) 会话与会话令牌有何不同？

(3) 为何不可能始终使用基于白名单的方法进行输入确认？

(4) 攻击者正在攻击一个执行管理功能的应用程序，并且不具有使用这项功能的任何有效证书。为何他仍然应当密切关注这项功能呢？

(5) 旨在阻止跨站点脚本攻击的输入确认机制按以下顺序处理一个输入：

(a) 删除任何出现的<script>表达式；

(b) 将输入截短为50个字符；

(c) 删除输入中的引号；

(d) 对输入进行URL解码；

(e) 如果任何输入项被删除，返回步骤(1)。

是否能够避开上述确认机制，让以下数据通过确认？