kjcxmx的博客

命令注入（又叫操作系统命令注入，也称为shell注入）是指在某种开发需求中，需要引入对系统本地命令的支持来完成某些特定的功能。当未对可控输入的参数进行严格的过滤时，则有可能发生命令注入。攻击者可以使用命令注入来执行系统终端命令，直接接管服务器的控制权限。它允许攻击者在运行应用程序的服务器上执行任意操作系统命令，并且通常会完全破坏应用程序及其所有数据。

文件上传漏洞(File Upload Vulnerabilities)是由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致允许攻击者向某个可通过Web访问的目录上传任意恶意文件，并能够将这些文件传递给后端服务器的解释器，就可以在远程服务器上执行任意代码、脚本。...

跨站脚本（Cross-site scripting简称为"CSS"，为避免与前端叠成样式表的缩写"CSS"冲突，故称为XSS）允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过同源策略，该策略旨在将不同的网站相互隔离。跨站点脚本漏洞通常允许攻击者伪装成受害者用户，执行用户能够执行的任何操作，并访问用户的任何数据。如果受害者用户在应用程序中具有特权访问权限，那么攻击者可能能够完全控制应用程序的所有功能和数据。XSS跨站脚本是一种网站应用程序的安全漏洞攻击，是代码注入的一种。...

SQL注入（SQLi）是一种网络安全漏洞，允许攻击者干扰应用程序对其数据库的查询。通过浏览器或者其他客户端将恶意SQL语句插入到网站参数中，而网站应用程序未对其进行过滤，SQL语句带入数据库使恶意SQL语句得以执行可以查看通常无法检索的数据。这可能包括属于其他用户的数据，或应用程序本身能够访问的任何其他数据。在许多情况下，攻击者可以修改或删除这些数据，从而导致应用程序的内容或行为发生持续变化。在某些情况下，攻击者可以升级SQL注入攻击以破坏底层服务器或其他后端基础架构或执行拒绝服务攻击。...

外部实体注入漏洞XXE(XMLExternalEntityInjection)也就是XML外部实体注入，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。file//和ftp//等协议，导致可加载恶意外部文件和代码，造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。不允许XML中含有自己定义的DTD。...

文件包含(File Inclusion)是一些对文件操作的函数未经过有效过滤，运行了恶意传入的非预期的文件路径，导致敏感信息泄露或代码执行。如果文件中存在恶意代码，无论什么样的后缀类型，文件内的恶意代码都会被解析执行，这就导致了文件包含漏洞的产生。随着网站的业务的需求，程序开发人员一般希望代码更加灵活，所以将被包含的文件设置为变量，用来进行动态调用，但是正是这种灵活性通过动态变量的方式引入需要包含的文件时，用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就造成了文件包含漏洞。后端编程人员一般会把

跨站请求伪造Cross-site request forgery（也称为CSRF、XSRF）是一种Web安全漏洞，允许攻击者诱导用户执行他们不打算执行的操作。攻击者通过伪造用户的浏览器的请求，向访问一个用户自己曾经认证访问过的网站发送出去，使目标网站接收并误以为是用户的真实操作而去执行命令。它允许攻击者部分规避同源策略，该策略旨在防止不同网站相互干扰。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为，网站能够确认请求来源于用户的浏览器，却不能验证请求是否源于用户的真实

目录遍历Directory traversal（也称文件路径遍历、目录穿越、路径遍历、路径穿越）是一种允许攻击者在未授权的状态下读取应用服务上任意文件的安全漏洞。这包括应用代码、数据、凭证以及操作系统的敏感文件。在有些情况下，攻击者还可能对服务器里的文件进行任意写入，更改应用数据甚至完全控制服务器。程序系统在实现上没有过滤用户输入的…/之类的目录跳转符，允许攻击者通过提交目录跳转符来遍历服务器上的任意文件。比如：当服务器处理传送过来的image1.jpg文件名后，Web应用程序会自动添加完整的路径，比如