溢出
程序对接收的输入数据没有执行有效的检测而导致的错误,后果可能是造成程序崩溃或者执行攻击者的命令。溢出大致可以分为两类:①堆溢出;②栈溢出。
缓冲区溢出
攻击者向一个地址区输入这个区间存储不下的大量字符,执行之余,足以使攻击者不受安全措施限制而获得计算机的控制权。
注入
web安全头号大敌。攻击者把一些包含攻击代码当作命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。注入漏洞通常能在SQL查询、LOAP查询、OS命令、程序参数等中出现。
SQL注入
用户可以提交一段数据库查询代码,并根据程序返回的结果获得某些他想要的数据,这就是SQL注入。提交代码获取想要的数据。
注入点
可以实行注入的地方,通常是一个访问数据库的连接。根据注入点数据库运行账号权限的不同,你所得到的权限也不同。
脚本注入攻击
所谓脚本注入攻击者把SQL命令插入到WEB表单的输入域或也面请求的查学字符串,欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入的内容直接用来构造动态的SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击.
软件脱壳
利用相应工具,把在软件”外面“起保护作用的”壳“程序去除,还文件本来面目,这样再修改文件内容或进行分析检测就容易多了。
免杀
通过加壳、加密、修改特征码、加花指令等技术来修改程序,使其逃过杀毒软件的查杀。