描述:代码审计,顾名思义就是检查源代码中的安全缺陷。 通过 工具或人工审查的方式,对程序源代码 逐条进行检查和分析,发现源码缺陷引发的安全漏洞,并且需要提供代码修订措施和修复建议。
题目:
1.请指出存在漏洞的代码的行号 (5分)
第二行,username函数存在sql注入漏洞
2.并描述可能造成的影响; (5分)
SQL注入攻击:代码中的SQL查询拼接使用了未经过滤或转义的username参数,使得攻击者可以通过构造恶意输入来执行任意的SQL语句。攻击者可以利用此漏洞来获取、修改或删除数据库中的数据,甚至完全控制数据库。
题目:
1.请指出存在漏洞的代码的行号 (5分)
第16行存在id参数注入,倒数第五行存在文件上传漏洞
2.并描述可能造成的影响; (5分)
1.在服务器端,对数据库执行查询操作,将查询的结果返回浏览器端。 黑客利用上述过程,将精心构造的请求放到传入的变量参数中,让服务器端执行恶意代码,从而达到了读取数据库中敏感信息的效果,甚至将数据库删除。
2.文件上传漏洞上传webshell,控制服务器、远程命令执行 上传系统病毒、木马文件进行挖矿、僵尸网络 进行提权操作 修改web页面,实现钓鱼、挂马等操作。 进行内网渗透。