![](https://img-blog.csdnimg.cn/20201014180756923.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全
TaneRoom
成长中的屌丝程序猿!
展开
-
web安全(2)-- CSRF(跨站点请求伪造)
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。转载 2016-11-01 09:27:04 · 1156 阅读 · 0 评论 -
web安全(1)-- XSS(跨站脚本攻击)
XSS攻击,通常指黑客通过“html注入” 篡改了网页,插入了恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器的一种攻击。其原理是攻击者向有XSS漏洞的网站中输入(传入)一段恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。原创 2016-11-01 09:21:37 · 1205 阅读 · 0 评论 -
web安全(3)-- ClickJacking(点击劫持)
“Clickjacking(点击劫持)是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年提出的。是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。”转载 2016-11-02 14:37:13 · 1389 阅读 · 0 评论 -
web安全(6)-- 任意文件上传漏洞
上传漏洞这个顾名思义,就是攻击者通过上传木马文件,直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。原创 2016-11-21 16:10:05 · 15093 阅读 · 1 评论 -
web安全(7)-- 任意文件下载漏洞
一些网站由于业务需求,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意的文件,可以是源代码文件、敏感文件等。原创 2016-11-21 16:23:02 · 12426 阅读 · 0 评论 -
web安全(5)-- 越权操作
越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。原创 2016-11-18 18:29:00 · 25818 阅读 · 7 评论 -
web安全(4)-- sql注入
注入攻击的本质就是把用户输入的数据当做代码来执行,这里有两个关键条件:第一个是用户能够控制输入,第二个是原本程序要执行的代码,拼接了用户输入的数据。原创 2016-11-17 10:55:43 · 1115 阅读 · 0 评论 -
web安全(8)-- 程序缺陷
所谓软件缺陷,即为计算机软件或程序中存在的某种破坏正常运行能力的问题、错误,或者隐藏的功能缺陷原创 2016-11-23 17:37:17 · 1340 阅读 · 0 评论