跨站攻击与文件上传漏洞

SQL注入:

原理:用户输入作为SQL命令被执行

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 SQL注入实践,SQLMAP

 

 

 

 

 

 

 黑名单校验:

前端Javascript校验:

 

 

 Content-type校验:

 

 

 任意文件下载漏洞:

 

 

 

 

   二、跨站脚本漏洞:

原理:跨站漏洞是一种 经常出现在Web应用程序中的计算机安全漏洞,是由于Web 应用程序中对用户的输入过滤不足,而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,   其他用户浏览这些网页时就会执行其中的恶意代码,对受害者可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻击。

XSS漏洞成因:

是由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤,允许用户在提交的数据中参入HTML代码(最主要的是”>","<"),然后未加编码第输出到第三方用户的浏览器,这些攻击者恶意提交代码会被受害用户的浏览器解释执行。

XSS挖掘(1)

 

XSS挖掘(2)

 

posted on 2020-02-12 15:46  古风尘  阅读(407)  评论(0编辑  收藏  举报

导航