bby12345的博客

OWASP Top 10 网站安全弱点 A1 – 注入 (Injection) A2 – 跨站脚本 (Cross Site Scripting (XSS)) A3 – 无效的验证和会话管理 (Broken Authentication and Session Management) A4 – 对资源不安全的直接引用 (Insecure Direct Object Referen...

- [b]跨站脚本 Cross Site Scripting (XSS) [/b] 当应用程序提取用户提供的数据并发送到Web浏览器，数据内容没有先经过验证或编码时，可能出现的XSS漏洞。XSS允许攻击者在受害者的浏览器上执行脚本，脚本可能会劫持用户会话、破坏Web站点或引入蠕虫等。 – [b]注入攻击 Injection Flaws [/b] 注入漏洞，特别是SQL注入，...

[b]A1 – Injection（注入攻擊）[/b] 　網站應用程式執行來自外部包括資料庫在內的惡意指令，SQL Injection與Command Injection等攻擊包括在內。因為駭客必須猜測管理者所撰寫的方式，因此又稱「駭客的填空遊戲」。 　舉例來說，原本管理者設計的登入頁面資料庫語法如下： $str = "SELECT * FROM Users WHERE U...