- 博客(3)
- 收藏
- 关注
RSS订阅原创 web常见漏洞——命令注入
1. 某网站的 Ping 命令执行页面:服务器使用的是 Windows Server 系统,在文本框中输入 8.8.8.8&&net user ,利用 && 符号连接了 ping 8.8.8.8 和 net user 两个命令,成功注入并获取到 net user 命令的执行结果,显示了系统用户信息。这个示例中,我们使用`Runtime.exec()`方法执行了一个`ping`命令,然后通过`BufferedReader`读取命令执行结果的输入流,并将结果输出到控制台。// 获取命令执行结果的输入流。
2024-07-04 09:24:56
762
原创 XSS跨站脚本攻击
(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,攻击者通过在目标网站上注入恶意脚本,从而在用户的浏览器上执行恶意代码。- 反射型XSS:攻击者通过构造恶意URL,将恶意脚本嵌入到URL中,当用户点击该链接时,恶意脚本会在用户浏览器上执行。- 使用CSP(内容安全策略):通过设置CSP,可以限制页面中允许加载的资源,从而降低XSS攻击的风险。- 分析已知的XSS攻击案例,了解攻击者是如何利用XSS漏洞进行攻击的,以及如何防范这类攻击。
2024-07-02 14:07:55
409
原创 SQL注入攻击技术
SQL注入是一种常见的网络攻击技术,它利用了Web应用程序中的安全漏洞,通过在输入框中插入恶意的SQL代码片段,来绕过验证机制,获取或篡改数据库中的数据。2. 参数化查询:与预编译语句类似,参数化查询也可以有效防止SQL注入,它将用户输入作为参数传递给SQL语句,而不是直接拼接在SQL语句中。SQL注入攻击的原理是利用Web应用程序中的输入验证不严格,将恶意的SQL代码片段插入到正常的SQL语句中,从而执行非预期的数据库操作。通过注入特定的语句,根据对页面请求的物理反馈,来判断是否注入成功。
2024-07-02 14:05:26
164
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人