常见漏洞原理
文章平均质量分 85
手把手带你了解常见漏洞原理
征__程
20年毕业,安全爱好者。
展开
-
有趣的漏洞原理——点击劫持(可爱的小猫居然想要和你吹一瓶?)
有趣的漏洞原理——点击劫持环境介绍进入正题搞定它危害!如何预防! 环境介绍 点击劫持是一种通过将链接伪装成其他东西来诱使网站用户点击有害链接的方法。 点击劫持攻击诱使网络用户执行他们不打算执行的操作,通常是通过在用户认为他们正在执行的操作之上呈现一个不可见的页面元素。 网页里有个小猫的视频,点击它会正常开始播放视频 进入正题 假设你的代码是下面这样。 <html> <head> <style> body { position:原创 2021-08-31 15:14:18 · 382 阅读 · 0 评论 -
有趣的漏洞原理——命令执行
有趣的漏洞原理——命令执行环境介绍进入正题搞定它!危害!如何预防尽量避免命令行调用正确转义输入限制允许的命令执行彻底的代码审查以受限权限运行 环境介绍 远程代码执行是一个重大的安全漏洞,也是完成系统接管的最后一步。 许多网站使用命令行调用来读取文件、发送电子邮件和执行其他本机操作。如果您的站点将不受信任的输入转换为shell命令,您需要注意清理输入。 1、一个dns查找站点,存在命令执行漏洞。 2、输入域名,返回nslookup结果 3、看下后端代码,通过domain参数来传递 进入正题原创 2021-08-30 17:43:14 · 200 阅读 · 0 评论 -
有趣的漏洞原理——XSS注入
有趣的漏洞原理——XSS注入环境介绍进入正题搞定它危害如何预防转义动态内容白名单值仅限 HTTP 的 Cookie 环境介绍 跨站脚本(XSS) 是黑客用来攻击网站的最常见方法之一。XSS 漏洞允许恶意用户在其他用户访问您的站点时执行任意的 JavaScript 块。 1、假如你有一个爱分享生活的网页,别人输入的评论也会存在后端,以方便展示给其他人观看 进入正题 2、如果没有对用户输入做限制的话,那。。。就有点危险了,正常会试用跨站脚本窃取cookie,从而允许会话劫持 alert 弹窗显示原创 2021-08-30 17:16:52 · 555 阅读 · 0 评论 -
有趣的漏洞原理——SQL注入(你的数据真的安全吗?)
有趣的漏洞原理——SQL注入环境介绍进入正题搞定它危害!如何预防!参数化语句转义输入其他注意事项最小特权原则密码散列第三方认证利用sql注入 环境介绍 SQL 注入是一种注入攻击。当攻击者提交恶意制作的输入,导致应用程序执行意外操作时,就会发生注入攻击。由于SQL数据库无处不在,SQL 注入是 Internet 上最常见的攻击类型之一。 1、我们会通过这个例子来了解下sql注入,一个简单的登录窗口 2、通过日志观察与应用程序交互时会发生什么 进入正题 3、我们随便猜测下密码,看看日志会记录什么?原创 2021-08-30 16:21:38 · 421 阅读 · 0 评论