合集 – 现充生活(1)
1.TOP10漏洞原理02-26
收起
1、sql注入:web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把sql语句拼接进数据库中执行,造成sql注入危害
2、xss:前端页面代码过滤不严格,导致可以插入的恶意js代码并执行
3、xxe:程序在解析XML文档输入时,没有禁止外部实体的加载,导致可引用恶意外部实体
4、文件上传:上传文件时过滤不严格导致可以上传恶意文件到服务器
5、文件包含:文件包含的参数没有经过过滤或者严格的定义,并且参数可以被用户控制,如果文件中存在恶意代码,无论文件是什么样的后缀类型,文件内的恶意代码都会被解析执行
6、远程命令执行:对用户可控参数过滤不严格,导致可以带入命令并执行
7、csrf:攻击者会让用户在不知情的情况下执行恶意请求,来执行未经用户授权的操作。
8、ssrf:攻击者利用目标服务器对外发起请求的功能,将服务器作为代理来访问其他网络资源,包括内部网络或外部网络中的敏感信息。
9、反序列化漏洞:反序列化一般情况下并不会造成危害,当反序列化的内容可控时,通过服务器接收点进行传输,当将恶意的序列化数据反序列化会将任何内容解析
10、逻辑漏洞:因为后期测试不完全,或者程序员设计缺陷导致逻辑漏洞
__EOF__
本文作者: 老徐不老_cloud 本文链接: https://www.cnblogs.com/Sunflower0-o/p/18034811 关于博主: 评论和私信会在第一时间回复。或者直接私信我。 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处! 声援博主: 如果您觉得文章对您有帮助,可以点击文章右下角【推荐】一下。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...