常见漏洞总结分类
不爱夏天的夏天啦
这个作者很懒,什么都没留下…
展开
-
越权漏洞基础解释
越权漏洞由开发人员在对数据进行增删改查时过于相信客户端请求的数据而遗漏的对权限的判定而产生。其可以分为两种:水平越权和垂直越权水平越权:是指权限相同级别的用户之间可以进行越权访问修改或删除的操作。出现该漏洞,可能会造成大批量数据泄露,甚至可能会导致用户信息被恶意篡改。例如甲和乙是权限相同级别的用户。甲作为一个对象,和用户信息,订单,密码等其他对象关联乙作为一个对象,和用户信息,订单,密码等其他对象关联当我们用甲的信息登录系统时,可以得到甲的用户信息,订单及其密码等信息及请求这些对象的ID。由原创 2022-05-12 11:47:31 · 517 阅读 · 0 评论 -
信息泄露(二)Dockerfile文件信息泄露
Dockerfile文件信息泄露Dockerfile文件介绍Dockerfile文件是用于构建docker镜像的文件。docker通过Dockerfile中的指令自动生成镜像。可利用docker build命令自动生成。其主要包括四个部分:基础镜像信息、维护者信息、镜像操作指令及容器启动时执行指令基础镜像信息:FROM :指定基础镜像(容器),必须为第一条命令MAINTAINE: 维护者信息(可选)RUN: 用于镜像容器的执行命令CMD:容器启动后执行指令。配置好Dock原创 2021-03-16 15:37:57 · 1030 阅读 · 0 评论 -
信息泄露(一):物理路径泄露
信息泄漏--物理路径泄露访问某网址时在其后面随意加了一个参数。1.如果参数错误,返回内容什么都没有,只告诉你出错 ,则说明无信息可利用。2.如果参数错误,返回内容有物理路径,则攻击者可以利用该物理路径攻击服务器对于物理路径泄漏问题,可能由以下几个原因导致:1.开发者未关闭debug模式,导致参数错误时进入debug调试模式,将敏感信息泄露2.开发者未考虑参数错误问题,导致参数错误时进入未知界面(未知界面包含物理路径敏感信息)有以下几个修复方案:1.将debug模式关闭2.原创 2021-03-11 16:23:45 · 2658 阅读 · 0 评论 -
越权漏洞
越权漏洞由开发人员在对数据进行增删改查时过于相信客户端请求的数据而遗漏的对权限的判定而产生。其可以分为两种:水平越权和垂直越权水平越权:是指权限相同级别的用户之间可以进行越权访问修改或删除的操作。出现该漏洞,可能会造成大批量数据泄露,甚至可能会导致用户信息被恶意篡改。例如甲和乙是权限相同级别的用户。甲作为一个对象,和用户信息,订单,密码等其他对象关联乙作为一个对象,和用户信息,订单,密码等其他对象关联当我们用甲的信息登录系统时,可以得到甲的用户信息,订单及其密码等信息及请求这些对原创 2021-03-10 20:12:03 · 769 阅读 · 0 评论