追梦者的部落格

今天，来谈谈关于文件上传漏洞。 很多网站都提供了文件上传功能，用以用户分享自己的东西。但是，这也给网站带来很大的安全隐患，如果网站管理人员或者开发人员不注意的话，将使网站处于非常危险的状态。常见的不安全因素主要有一下两方面：对上传文件大小不做限制 我们一般在需要上传文件的网站上，都可以看到对上传文件的大小的限制，如不能超过多少KB或多少MB，这样做的目的主要有以下两个方面考虑：大

今天，来分享一下CRSF攻击基本知识 CRSF：cross site request forgery 跨站请求伪造下面是CRSF攻击的示意图： 上图可以简单总结为三步：用户登陆A站，并保留登陆信息用户访问B站， B站携带A站登陆信息恶意请求A站A站无法识别请求方，当作合法请求处理，从而遭受攻击简单示例： 某个网站存在以下恶意信息<img src="http://www.xxx.

SQL注入最近在整理web安全方面的知识，发现以前写的这一篇有bug，于是重新编辑发表了一下，下面是分享内容。SQL注入原理解释网上和书上对SQL注入讲的感觉挺复杂的，但是就我理解来看，SQL注入就是利用数据库查询语句的漏洞，用户通过特殊的输入，构造出特殊的查询语句从而进行一些非预期的操作。这些非预期的操作包括非法登录，窃取数据库中的信息，甚至是销毁信息的操作。简单的SQL注入实现下面是登录数据库的

XSS攻击是什么？ XSS攻击：跨站脚本攻击(Cross Site Scripting) 为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSSXSS攻击的过程： 例子：表单内容：<input type="text" name="nick">当用户输入："/><script>alert("haha");</script