代码审计的漏洞类型
对代码审计中存在的漏洞进行审计,常见的漏洞类型如下:
1SQL注入攻击
攻击者通过输入一段数据库查询代码窃取或修改数据库中的数据。
2 XSS跨站攻击
利用网站漏洞攻击访问该站点用户,达到窃取该站点访问者相关的用户登陆或认证信息的目的。
3远程、本地文件包含攻击
PHP、JSP中使用本地、远程文件包含进行攻击。
4命令行执行攻击
攻击者利用post或cookie执行系统命令。
5 Cookie攻击
攻击者利用修改cookie来改变变量的值,从而利用web系统的漏洞进行注入等攻击。
6关键文件下载
攻击者通过工具或特殊命令下载网站系统的数据库文件、配置文件信息。
7越权漏洞
越权漏洞是由于对用户访问权限控制不严,导致普通用户可以以其他用户权限或管理用户权限进行操作。
8提权
攻击者利用系统漏洞获取操作系统的权限,乃至管理员权限。
9应用平台漏洞攻击
攻击者通过获悉应用平台后,可以利用该平台的已知漏洞进行攻击;当应用平台出现漏洞,且没有官方补丁时,同样面临被攻击的风险。
10木马上传
攻击者利用黑客工具上传Webshell以达到控制服务器的目的。
