1.命令注入执行
针对需要执行命令的接口,如果要执行cat /etc/passwd 不会返回
2.代码注入执行
用户输入代码被服务区执行
3.服务端请求伪造
用户通过伪造服务端的请求,然后获取到response
4.XML实体注入
服务区入侵,内网嗅探
5.反序列化漏洞
用户通过可控的位置(cookie,参数)来读取序列化的数据,在服务端进行反序列化操作,因为反序列化可以任意修改代码,导致代码注入
6.越权漏洞
用户进行个人数据操作时,可以读取到用户的Cookie,标识等,这时用户操作时越权操作别人的数据
sessiontoken 和 cookIe要加密
7.SQL注入
如果用户输入的参数是拼接SQL的,这时用户输入SQL有可能造成意外的SQL执行
8.JSONP劫持
跨域进行数据传输时,如果没有对数据来源进行区分,那么有可能会到导致非数据源地方来获取数据中的敏感数据
9.任意URL重新定向
业务中的URL被任意修改,从而跳转到钓鱼网站,导致信息被泄露
10.跨域脚本攻击
用户输入的内容,如果直接展示在web页面上,那么用户如果输入的是可以执行的js,那么将会导致用户的cookie丢失等情况
11.客户端请求伪造攻击
常规的HTTP请求,如果被用户猜到,那么会伪造这些接口来进行攻击,例如点赞,评论等
12.短信炸弹
短信,号码,点击提交之后可以无限次数的提交,给用户打电话,发短信。
13.登录口爆破
登录口设计不合理,会导致可以用户名密码爆破,弱口令字典等。
扫一扫
2825
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
