TOP10漏洞原理
1、sql注入:web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把sql语句拼接进数据库中执行,造成sql注入危害
2、xss:前端页面代码过滤不严格,导致可以插入的恶意js代码并执行
3、xxe:程序在解析XML文档输入时,没有禁止外部实体的加载,导致可引用恶意外部实体
4、文件上传:上传文件时过滤不严格导致可以上传恶意文件到服务器
5、文件包含:文件包含的参数没有经过过滤或者严格的定义,并且参数可以被用户控制,如果文件中存在恶意代码,无论文件是什么样的后缀类型,文件内的恶意代码都会被解析执行
6、远程命令执行:对用户可控参数过滤不严格,导致可以带入命令并执行
7、csrf:攻击者会让用户在不知情的情况下执行恶意请求,来执行未经用户授权的操作。
8、ssrf:攻击者利用目标服务器对外发起请求的功能,将服务器作为代理来访问其他网络资源,包括内部网络或外部网络中的敏感信息。
9、反序列化漏洞:反序列化一般情况下并不会造成危害,当反序列化的内容可控时,通过服务器接收点进行传输,当将恶意的序列化数据反序列化会将任何内容解析
10、逻辑漏洞:因为后期测试不完全,或者程序员设计缺陷导致逻辑漏洞
本文来自博客园,作者:老徐不老_cloud,转载请注明原文链接:https://www.cnblogs.com/Sunflower0-o/p/18034811
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步