注入:
命令注入:; || | && 等连接语句
XPath注入:针对xml的注入与sql注入类似(要熟悉XML语法)
LDAP注入:
SQL注入:大家都很熟悉的一个注入
URL参数注入:主要是指通过“&”注入一些额外的参数
跨站脚本(xss):(一般窃取cookie)
反射式:
存储式:存储式的危害更大一些也更好利用。
跨站请求伪造(CSRF):
伪造一个URL,让有权限的用户去点击,执行一些有害操作。
会话:
会话劫持:窃取合法的sessionID
会话固定:自定一个SeeeionID,合法用户通过这个ID登录(web应用程序在不废止现有的会话ID(未经验证)前提下验证一个用户)。
非直接会话攻击:有些网站登录时会把用户名加到session中,而登录失败后重新跳转到登录页面并清空session.利用:在重新跳转的时候拦截掉,这样session就不会重置,还还有登录用户名信息,若其他页面只验证session中的用户名有记录,则可以顺利通过验证。
另外一个:会话ID如果可预测的话,可以根据规律伪造一个。
不安全的直接对象访问:
访问控制的问题,跨权限访问。例如修改不同的用户ID访问其他用户的私密信息。
服务器配置问题:
跨目录,默认密码,敏感信息泄漏
扫一扫
1174
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
