安全测试系列1 命令注入漏洞

博客介绍了常用漏洞利用方法,如闭合上下文、使用多语句分号等。还详细阐述了SQL注入、XSS(跨站脚本)漏洞、CSRF(跨站请求伪造)三种常见漏洞,包括其简介、常见情况,同时给出了相应的预防措施,如SQL注入可使用参数化查询。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

常用漏洞利用

闭合前后上下文

  • 多语句分号 ;
  • 条件执行 && ||
  • 管道符号 |

SQL注入

常见漏洞:

    where条件:OR 1=1
    union -- -:注释后面的语句

预防:使用参数化查询,避免数据被混在指令中

XSS(跨站脚本)漏洞

简介:

一种网站应用程序的安全漏洞攻击,是代码注入的一种;
它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响;
攻击通常包含了HTML、用户端脚本语言(JavaScript),也可以包括Java、VBScript 、ActiveX、Flash;
攻击成功后可能得到更高的权限、私密网页内容、会话和cookie等  

预防:输入输出过滤、利用浏览器安全机制等
检测:可自动化发现

CSRF(跨站请求伪造)

简介:

通过技术手段欺骗用户的浏览器去访问自己曾经认证过的网站用进行操作(如发邮件、发消息、转账、购买商品);
简单的身份验证只能保证请求发自某个用户的浏览器,不能保证是用户本身发出的

常见:利用url、图片请求、伪造表单

预防: 增加token校验、检查referer

https://mp.weixin.qq.com/s/Rf4dag7Z1rFNl4LxbAjyqw

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值