OWASP TOP 10
关注
分享
扫一扫
MzHeader
这个作者很懒,什么都没留下…
展开
-
命令执行漏洞
命令执行漏洞1 命令执行漏洞定义命令执行漏洞,就是指用户通过浏览器或其他辅助程序提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。通俗的讲:当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHp中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时,将可以住人恶意系统命令到正常的命令中...原创 2019-03-05 15:22:05 · 873 阅读 · 0 评论 -
SQL注入攻击与防御
SQL注入攻击与防御所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。1.1 分类:常见的SQL注入类型包括:数字型和字符型。也有人把类型分得更多、更细。但不管注入类型如何,攻击者的目的只有一点,那就是绕过程序限制,使用户输入的数据带入数据库执行,利用数据库的特殊性获取更多的信息或者更大的权限。1.1.1 ...原创 2019-03-03 18:30:33 · 2745 阅读 · 1 评论 -
XSS跨站脚本攻击与防御
XSS跨站脚本攻击与防御1.什么是 XSS ?XSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话:*所有的输入都是有害的...原创 2019-03-03 21:02:48 · 9304 阅读 · 1 评论 -
文件上传漏洞
文件上传漏洞文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。在了解文件上传漏洞之前先了解什么...原创 2019-03-04 00:27:45 · 20779 阅读 · 1 评论 -
CSRF攻击与防御
CSRF攻击与防御CSRF(Cross-Site Request Forgery)是指跨站请求伪造,也常常被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或是XSRF。1 原理CSRF攻击攻击原理及过程如下:用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;在用户信息通过验证后,网站A产生Cookie信息并返回给...原创 2019-03-04 11:51:22 · 445 阅读 · 0 评论