随笔分类 - 安全相关 / OWASF Top10
摘要:文件上传漏洞 现在大多数的站点都存在文件上传功能,该功能在为我们带来方便的同时若未对用户上传的文件进行严格的过滤,则攻击者可能向后台数据库上传病毒、木马后门程序等恶意文件。如恶意用户上传一个可以执行的WebShell程序,则可以通过该程序获取系统后台Shell执行方法从而进一步获取整个系统的操作权限
阅读全文
摘要:XSS攻击 原理 跨站脚本攻击XSS(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,将跨站脚本攻击缩写为XSS。 原理为恶意攻击者在网页中构造恶意javascript脚本,用户浏览该页面时,嵌入网页里面的语句会被执行
阅读全文
摘要:SQL注入漏洞 什么是SQL注入? SQL注入是因为web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先构造SQL语句,实现非法操作,从而实现对后台数据库的恶意操作。 SQL注入分类 1、按照注入点类型可分为: int型、get型 2、按照数据的提交方式: POS
阅读全文
摘要:sqllib-2 数字型注入 192.168.92.129/sqli-labs/Less-2/?id=600 union select 1,20,(select group_concat(username,’:’,password) from users )–+
阅读全文
