![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
漏洞
工作中遇到的漏洞
平凡的人类
何谈三观,褒贬任剪,笑骂随意
展开
-
漏洞:重定向攻击
什么是重定向攻击?应用程序允许未验证的用户输入控制重定向中的 URL ,攻击通过构建 URL ,使用户重定向到任意 URL ,利用这个漏洞可以诱使用户访问某个页面,挂马、密码记录、下载任意文件等,常被用来钓鱼。什么情况下会触发重定向攻击:例如以下代码会接收前台的 url 参数,然后进行一系列业务操作后重定向到该链接,一般情况下这个链接可能是默认的,例如登陆处登陆成功后跳到首页,但是这种情况没有限制用户输入自定义的链接。 @RequestMapping(value = "doGet")p原创 2021-03-09 15:51:52 · 2674 阅读 · 0 评论 -
漏洞:反射型 XSS 攻击
什么是反射型 XSS 攻击?反射型 XSS 是指应用程序通过 Web 请求获取不可信赖的数据,并在未检验数据是否存在恶意代码的情况下,将其发送给用户。反射型XSS一般可以由攻击者构造带有恶意代码参数的URL来实现,在构造的URL地址被打开后,其中包含的恶意代码参数被浏览器解析和执行。这种攻击的特点是非持久化,必须用户点击包含恶意代码参数的链接时才会触发。实现目的:(其实说白了就类似于 SQL 注入,只不过一个是针对数据库,一个是针对 HTML )通过你提交的数据,实现反射型 XSS 可以..原创 2021-03-09 15:19:33 · 9195 阅读 · 0 评论 -
漏洞:会话固定攻击(session fixation attack)
什么是会话固定攻击?会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。整个攻击流程是:1、攻击者Attacker能正常访问该应用网站;2、应用网站服务器返回一个会话ID给他;3、攻击者Attacker用该会话ID构造...转载 2019-12-30 15:54:20 · 865 阅读 · 0 评论