溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
總結下web 常見的幾個漏洞
1.SQL注入
2.XSS跨站點腳本
3.緩沖區溢出
4.cookies修改
5.上傳漏洞
6.命令行注入
1 sql 漏洞
SQL注入***是***對數據庫進行***的常用手段之一。隨著B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員也越來越多。但是由于程序員的水平及經驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得某些他想得知的數據,這就是所謂的SQL Injection,即SQL注入。
2 XSS 夸站點漏洞
XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。***者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由于被***用來編寫危害性更大的網絡釣魚(Phishing)***而變得廣為人知。對于跨站腳本***,***界共識是:跨站腳本***是新型的“緩沖區溢出***“,而JavaScript是新型的“ShellCode”。
3 緩沖區溢出
緩沖區溢出漏洞是指在程序試圖將數據放到及其內存中的某一個位置的時候,因為沒有足夠的空間就會發生緩沖區溢出的現象。
4 cookies修改
基于上述建議,即使 Cookie 被竊取,卻因 Cookie 被隨機更新,且內容無規律性,***者無法加以利用。另外利用了時間戳另一大好處就是防止 Cookie 篡改或重放。
Cookie 竊取:搜集用戶cookie并發給***者的***。***者將利用cookie信息通過合法手段進入用戶帳戶。
Cookie 篡改:利用安全機制,***者加入代碼從而改寫 Cookie 內容,以便持續***。
5上傳漏洞
這個漏洞在DVBBS6.0時代被***們利用的最為猖獗,利用上傳漏洞可以直接得到WEBSHELL,危害等級超級高,現在的***中上傳漏洞也是常見的漏洞。
導致該漏洞的原因在于代碼作者沒有對訪客提交的數據進行檢驗或者過濾不嚴,可以直接提交修改過的數據繞過擴展名的檢驗。
6 命令行注入
所謂的命令行輸入就是webshell 了,拿到了權限的***可以肆意妄為
關于怎么防護web 應用這里推薦一個視頻小教程,里面有附帶防御腳本
http://www.roncoo.com/details/b32a545a747440bd893f632427740604
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
