SQL注入:
原理:用户输入作为SQL命令被执行
SQL注入实践,SQLMAP
黑名单校验:
前端Javascript校验:
Content-type校验:
任意文件下载漏洞:
二、跨站脚本漏洞:
原理:跨站漏洞是一种 经常出现在Web应用程序中的计算机安全漏洞,是由于Web 应用程序中对用户的输入过滤不足,而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页之中, 其他用户浏览这些网页时就会执行其中的恶意代码,对受害者可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻击。
XSS漏洞成因:
是由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤,允许用户在提交的数据中参入HTML代码(最主要的是”>","<"),然后未加编码第输出到第三方用户的浏览器,这些攻击者恶意提交代码会被受害用户的浏览器解释执行。
XSS挖掘(1)
XSS挖掘(2)