摘要:
1、 什么是不安全的反射漏洞? 反射这一概念最早由编程开发人员Smith在1982年提出,主要指应用程序访问、检测、修改自身状态与行为的能力。这一概念的提出立刻吸引了编程界的极大关注,各种研究工作随之展开,随之而来引发编程革命,出现了多种支持反射机制的面向对象编程语言。 在Java编程语言中,Jav 阅读全文
摘要:
1、什么是XPath注入漏洞? XPath是一种用来在内存中导航整个XML树的语言,它使用路径表达式来选取XML文档中的节点或者节点集。 XPath注入是指程序使用外部输入动态构造用于从XML数据库检索数据的XPath表达式,但它没有过滤或错误地过滤该输入,这使攻击者可以控制查询的结构。攻击者可以控 阅读全文
摘要:
1、什么是OS命令注入? 软件在构造OS命令时使用了外部输入的数据,如果没有对外部输入中可能影响OS命令的特殊元素进行过滤,或是过滤不充分/不正确,就有受到OS命令注入攻击的风险。 OS命令注入缺陷允许攻击者直接在操作系统执行各种命令,当缺陷存在于网页应用等无法直接访问操作系统的软件中时,会造成一些 阅读全文
摘要:
可逆的单向哈希漏洞是一种程序缺陷,顾名思义,是由于单向哈希在某些情况下可逆导致的。想要了解可逆的单向哈希漏洞,首先我们需要学习一下什么是单向哈希。 1、 单向哈希是什么? 哈希(Hash),是把任意长度的输入,通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值 阅读全文
摘要:
路径遍历漏洞是什么? 为了识别位于受限的父目录下的文件或目录,软件使用外部输入来构建路径。由于软件不能正确地过滤路径中的特殊元素,能够导致访问受限目录之外的位置。 许多文件操作都发生在受限目录下。攻击者通过使用特殊元素(例如,“..”、“/”)可到达受限目录之外的位置,从而获取系统中其他位置的文件或 阅读全文
摘要:
URL重定向: URL重定向(URLredirection)漏洞,又称跳转漏洞,指的是网络应用程序接受用户可控的输入作为到外部站点的链接,然后在重定向中使用该链接。该安全漏洞给网络钓鱼攻击提供了极大的便利。 漏洞的构成条件: 1、URL从用户可控制的输入中提取; 2、该URL未经验证,就被用于网络应 阅读全文
摘要:
什么是SQL注入: SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。 SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。它是利用现有应用程序,将(恶意)的SQL命令注入到后台 阅读全文