来日可期的博客

任意文件上传漏洞（Arbitrary File Upload Vulnerability）是指攻击者通过某种方式绕过服务器端对上传文件类型和路径的合法性检查，成功地上传恶意文件到目标服务器上，并执行其中的恶意代码。这种漏洞广泛存在于许多Web应用程序中，特别是那些允许用户上传文件的网站或Web应用。

任意文件上传漏洞指的是攻击者可以通过绕过应用程序的文件上传功能，向服务器上传恶意文件，包括脚本文件、木马程序等，从而执行任意代码或获取系统敏感信息。

文件包含漏洞（File Inclusion Vulnerability）是一种常见的Web安全漏洞，它允许攻击者通过构造恶意请求，将恶意代码或者非授权文件包含到应用程序中执行。

服务端请求伪造（Server-Side Request Forgery，简称SSRF）是一种常见的安全漏洞，攻击者可以通过该漏洞使服务器发起未经授权的请求，甚至可以访问内部资源。攻击者可以利用SSRF获取敏感信息、执行未经授权的操作或者进行其它攻击。

业务逻辑漏洞主要是开发人员业务流程设计的缺陷，不仅限于网络层、系统层、代码层等。比如登录验证的绕过、交易的数据篡改、接口的恶意调用等，都属于业务逻辑漏洞。

反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时，由于缺少必要的验证或过滤，导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞，攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据，使得应用程序在反序列化时执行了攻击者所构造的恶意代码，进而导致应用程序受到攻击。

SQL注入（SQL Injectian）是一种常见的Web安全漏洞。攻击者利用这个漏洞，可以增删改查数据库中数据，或者利用潜在的数据库漏洞进行攻击。

跨站点脚本(Cross Site Scripting，XSS)是指客户端代码注入攻击，攻击者可以在合法网站或Web应用程序中执行恶意脚本。当wb应用程序在其生成的输出中使用未经验证或未编码的用户输入时，就会发生XSS。

失效的访问控制漏洞是指系统在实施访问控制策略时出现错误或缺陷，导致攻击者能够绕过或越权访问敏感资源。这些错误可能包括缺乏有效的身份验证、授权检查不完整或不正确配置的访问控制列表（ACL）等。

跨站请求伪造是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。

反序列化存在的意义是为了数据传输，类是无法直接进行传输的。通过序列化后转换为字符串格式或者JSON格式进行传输。

JWT（JSON Web Token）是一种用于在网络环境中进行身份验证和授权的开放标准。它使用 JSON 格式定义了一种安全的令牌传输格式。

XXE漏洞全称XML External Entity Injection，即XML外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

预编译 CASE（Prepared CASE）是一种数据库查询语言（如SQL）中的控制语句，它可以根据条件表达式的值来选择执行不同的语句块，类似于编程语言中的 switch 语句。预编译 CASE 注入则是一种基于预编译 CASE 语句的安全漏洞攻击。预编译 CASE 注入攻击的漏洞原理与其他类型的注入攻击相似，即攻击者尝试构造特定的输入数据来绕过应用程序的输入验证和过滤机制，从而能够执行未经授权的操作或获得敏感信息等。在预编译 CASE 注入攻击中，攻击者通常会针对应用程序中存在的具有条件判断语句