1.XSS漏洞
XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。
分类:反射形XSS,存储型XSS,DOM型XSS
2.远程代码执行漏洞RCE
危害:1.窃取服务器的敏感数据,文件 2.对电脑的文件加密实施勒索 3.运行恶意代码 4.拒绝服务 5.作为跳板攻击其他人
3.SQL注入
如何判断是否存在SQL注入点:1.登录框 2.查询 3.订单处理等地方 4.获取http头功能点
注入点查看:报错点注入 盲注(bool盲注,时间盲注)
4.CSRF漏洞
CSRF,跨站请求伪造攻击,是一种对网站的恶意利用,通过伪装成收信任用户请求收信任的网站
防范: 1.验证http referer字段 2.增加token并验证 3.在http头中自定义属性并验证
5.SSRF漏洞
SSRF是一种由攻击者构造形成由服务器发起请求的一个安全漏洞
SSRF的场景: 1.分享 2.转码 3.在线翻译 4.图片下载或加载 5.图片文章收藏 6.未公开的API
6.文件上传漏洞
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得理智型服务器端命令的能力
常见上传点:头像,简历,资源,附件,编译器
所需条件: 1.木马上传成功,未被杀 2.知道木马的途径在哪 3.上传的木马能正常运行 4.上传过程检测
7.XXE漏洞
XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞