web常见漏洞
文章平均质量分 88
Z`y
这个作者很懒,什么都没留下…
展开
-
文件上传漏洞
文件上传漏洞攻击与防范方法 文件上传漏洞简介: 文件上传漏洞是web安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。 文件上传漏洞危害: 上传漏洞与SQL注入或 XSS相比 , 其风险更大 , 如果 Web应用程序存在上传漏洞 , 攻击者上传的文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行。如果上传的文件是Flas原创 2021-01-07 17:30:01 · 302 阅读 · 0 评论 -
文件上传漏洞与解析漏洞
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接有效的,有时候几乎没什么技术门槛。 漏洞成因 由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致用户可以越过其本身权限向服务器上传可执行的动态脚本文件。打个比方来说,如果你使用php作为服务器端的动态网站环境,那么你的上传功能出就一定不能让用户上传php类型的文件,否则黑客上传一个webshell,那么你的服务器上的文件就可以被任意修改了。 文件上传的危害 上传文件是web...原创 2020-12-23 15:31:44 · 820 阅读 · 0 评论 -
三、CSRF-SSRF
1、csrf漏洞介绍 跨站点请求伪造(Cross Site Request Forgery)是一种经典的网络攻击方式,它一直是OWASP TOP 10之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。csrf与xss的区别在于,csrf并没有盗取cookie而是直接利用。xss利用站点内的信任用户,而csrf通过伪装来自受信任用户的请求来利用受信用的网站。 2、csrf攻击原理 利用了网站允许攻击者预测特定操作的所..原创 2020-12-22 20:07:31 · 2122 阅读 · 6 评论 -
二、跨站脚本攻击 XSS
1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 2、xxs攻击原理 攻击者在有漏洞的前端页面嵌入恶意代码,导致受原创 2020-12-22 19:23:18 · 348 阅读 · 1 评论 -
一、SQL注入攻击详细介绍笔记
所谓sql注入,就是通过把sql命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令。具体来说,它是利用现有应用程序,将(恶意的)sql命令注入到后台数据库引擎执行的能力,它可以通过在web表单中输入(恶意)sql语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图就执行sql语句。 1、 SQL注入的原理 Sql注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句进而执行攻击者所要的操作原创 2020-12-22 17:44:38 · 947 阅读 · 0 评论