elevn的博客

首先我们来定义漏洞修复这个概念。开发人员和安全团队为了，这个过程就是漏洞修复了。在检测方面，企业可以使用各种应用程序(Application Security Testing, AST) 工具来识别软件应用程序和其他系统中的漏洞。例如，软件成分分析 (SCA) 工具通过对开源软件组件与软件开发环境中的漏洞数据库、安全公告或问题跟踪器进行检查，来验证其完整性，以确保不包含漏洞。当工具发现问题时，安全团队会尝试拦截或消除漏洞，这一步就被称为修复。

在设计不良的程序当中，忽略了对输入字符串中夹带的 SQL 指令的检查，那么这些夹带进去的指令就会被数据库误认为是正常的 SQL 指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。目录遍历是由于 Web 服务器或 Web 应用程序对用户输入文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过 HTTP 请求和利用一些特殊字符就可以绕过服务器的安全限制，访问任意受限的文件(可以是 Web 根目录以外的文件)，甚至执行系统命令。