Web应用程序安全风险
关注
分享
扫一扫
3x_calibur
这个作者很懒,什么都没留下…
展开
-
SQL注入原理及其预防
0x00 什么是SQL注入 首先你得知道什么是SQL,结构化查询语言(Structured Query Language)简称SQL(发音:/ˈes kjuː ˈel/ "S-Q-L"),是一种特殊目的的编程语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统;同时也是数据库脚本文件的扩展名。而SQL注入就是将恶意的SQL命令输入到后台数据库中,可以通过web...原创 2018-03-12 11:36:58 · 554 阅读 · 0 评论 -
XSS原理及其预防
0x00 什么是XSSCSS(Cross Site Scripting,跨站脚本攻击),为了和层叠样式表(Cascading Style Sheet,CSS)区分,所以改为叫XSS。XSS攻击能让攻击者在受害者的浏览器中执行脚本,并劫持用户会话、破坏网络或将用户重定向到其他恶意的站点。0x01 XSS原理当应用程序的网页中包含不可信的,未经恰当验证或转义的数据时,或者使用可以创建HTML或Java...原创 2018-03-22 11:41:08 · 573 阅读 · 0 评论 -
XML外部实体引用(XXE,XML External Entity attack)漏洞原理及其预防
0x00 什么是XMLXML 指可扩展标记语言(EXtensible Markup Language),是一种用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。和HTML类似,但HTML被设计来显示数据,XML被设计来传输数据。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。https://mp.csdn....转载 2018-03-26 16:21:22 · 5735 阅读 · 0 评论