命令注入漏洞
目标是通过易受攻击的应用程序在主机操作系统上执行任意命令
SQL注入漏洞
发生在应用程序与数据库层的安全漏洞
危害及预防
-
危害:漏洞能让黑客无限制的使用SQL,造成数据泄露,甚至是远程名利操作
-
预防:使用参数化查询避免数据被混在指令
XSS漏洞
跨站脚本漏洞,是一种网站应用程序的安全漏洞攻击
主要通过利用网页开发时留下的漏洞,使用巧妙的方法注入恶意制定代码,导致用户加载并执行攻击者恶意制造的网页程序
危害及预防
-
危害:危害网站上的用户,导致其被动执行非预期网页脚本
-
预防:输入输出过滤、利用浏览器安全机制等
-
检测:可自动化发现
CSRF漏洞
跨站请求伪造
是攻击者通过技术手段,欺骗用户使用浏览器访问一个自己曾经认证过的网站并运行一些操作
危害及预防
-
危害:导致用户执行非本意的网站
-
预防:增加 token 校验,检查 referer
推荐阅读
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看”
原文始发于微信公众号(橘猫学安全):常见接口安全问题及解决方案
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论