TOP10漏洞原理

合集 – 现充生活(1)

1.TOP10漏洞原理02-26

收起

1、sql注入：web应用程序对用户输入的数据没有进行过滤，或者过滤不严，就把sql语句拼接进数据库中执行，造成sql注入危害

2、xss：前端页面代码过滤不严格，导致可以插入的恶意js代码并执行

3、xxe：程序在解析XML文档输入时，没有禁止外部实体的加载，导致可引用恶意外部实体

4、文件上传：上传文件时过滤不严格导致可以上传恶意文件到服务器

5、文件包含：文件包含的参数没有经过过滤或者严格的定义，并且参数可以被用户控制，如果文件中存在恶意代码，无论文件是什么样的后缀类型，文件内的恶意代码都会被解析执行

6、远程命令执行：对用户可控参数过滤不严格，导致可以带入命令并执行

7、csrf：攻击者会让用户在不知情的情况下执行恶意请求，来执行未经用户授权的操作。

8、ssrf：攻击者利用目标服务器对外发起请求的功能，将服务器作为代理来访问其他网络资源，包括内部网络或外部网络中的敏感信息。

9、反序列化漏洞：反序列化一般情况下并不会造成危害，当反序列化的内容可控时，通过服务器接收点进行传输，当将恶意的序列化数据反序列化会将任何内容解析

10、逻辑漏洞：因为后期测试不完全，或者程序员设计缺陷导致逻辑漏洞

__EOF__

本文作者： 老徐不老_cloud 本文链接： https://www.cnblogs.com/Sunflower0-o/p/18034811 关于博主： 评论和私信会在第一时间回复。或者直接私信我。 版权声明： 本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！ 声援博主： 如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。