随笔分类 - web漏洞类
摘要:##跨站脚本攻击(XSS) ####漏洞描述 web程序代码中对用户提交的参数未做过滤或者过滤不严格,导致参数中的特殊字符破坏了HTML页面的原有逻辑,攻击者可以利用改漏洞执行恶意的html/js代码、构造蠕虫、篡改页面实施钓鱼攻击、以及诱导用户再次登录,然后获取其登录凭证等。 ####攻击原理 X
阅读全文
摘要:##SQL注入 ####漏洞描述 web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参考中的特殊字符破坏了SQL语句原有的逻辑,攻击者可以利用改漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 ####攻击样例 ####修复建议
阅读全文
