摘要:
一、漏洞概述 命令注入是指在易受攻击的应用程序中注入和执行攻击者指定的命令,执行的命令具有与web 服务相同的权限和环境。 产生原因: web服务器没有对用户提交的参数进行有效的检测过滤 操作系统允许一条语句在使用连接符和管道符后执行多条命令 windows下几种的管道符或者连接符: command 阅读全文
摘要:
一、漏洞概述 CSRF(Cross site request forgery ):跨站请求伪造。 CSRF是指利用受害者尚未失效的身份认证信息(cookie、会话信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害人的身份向服务器发送请求,从而完成非法操作。 二、工具 阅读全文