关于安全的东西一向不好给大家讲太多细节什么的,我这里给想研究的同学们 列一下几种首先应该关注的漏洞类型,以及粗略的介绍,想详细了解的自己去google吧,或者随便去找个网站。
● XSS
XSS全称Cross Site Scripting,中文叫做跨站脚本,起因是外部输入被浏览器当作脚本来执行。按照漏洞触发点的不同,分为3类: 1.存储型XSS 2.反射型XSS 3.DOM型XSS。
??URL Open Redirect
顾名思义,没有限制跳转目标的URL Redirect就是Open URL Redirect。
● CSRF
CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。 ??强迫/诱使受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。
● SQL Injection
通过往客户端传递给服务器端的参数中插入SQL代码,达到影响服务器端SQL语句端执行的目的。
● Command Injection
通过控制输入插入额外的shell指令 ,PHP代码出现此类问题较多,Java中通过Runtime.exec(“sh command”)执行shell命令。
● File Inclusion
”require/include/require_once/include_once ” 的参数有外部输入,外部输入可以控制包含的文件或者路径, 这是PHP特有的一类问题。
● Unauthorized file read/write
攻击者通过控制URL参数或者POST参数,进而控制服务器端读取文件的路径或者文件名,达到恶意读取文件的目的。
● File Uploading
字面意思….文件上传是一类非常普遍的问题。
● Buffer Overflow
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。
相关链接:
