命令注入漏洞
常用漏洞利用
闭合前后上下文
- 多语句分号 ;
- 条件执行 && ||
- 管道符号 |
SQL注入
常见漏洞:
where条件:OR 1=1
union -- -:注释后面的语句
预防:使用参数化查询,避免数据被混在指令中
XSS(跨站脚本)漏洞
简介:
一种网站应用程序的安全漏洞攻击,是代码注入的一种;
它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响;
攻击通常包含了HTML、用户端脚本语言(JavaScript),也可以包括Java、VBScript 、ActiveX、Flash;
攻击成功后可能得到更高的权限、私密网页内容、会话和cookie等
预防:输入输出过滤、利用浏览器安全机制等
检测:可自动化发现
CSRF(跨站请求伪造)
简介:
通过技术手段欺骗用户的浏览器去访问自己曾经认证过的网站用进行操作(如发邮件、发消息、转账、购买商品);
简单的身份验证只能保证请求发自某个用户的浏览器,不能保证是用户本身发出的
常见:利用url、图片请求、伪造表单
预防: 增加token校验、检查referer
https://mp.weixin.qq.com/s/Rf4dag7Z1rFNl4LxbAjyqw