简单介绍sql xss csrf 和文件上传漏洞
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了简单介绍sql xss csrf 和文件上传漏洞,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2409字,纯文字阅读大概需要4分钟。
内容图文
SQL:
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,
最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令
注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全
漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就是
通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
介绍转自百度百科:https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5/150289?fr=aladdin
就比如,原本通过链接查询我的账号,然后却通过sql命令却查到了管理员账号
这种漏洞常用于提权(shell)
当然这种漏洞前些年特别流行,而现在却不尽人意,很多站点都挖不出来
XSS:
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻
击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户
将代码植入到提供给其它用户使用的页面中。
介绍转自百度百科:https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5/150289?fr=aladdin
简单理解的话,就是通过过滤掉原本该执行的然后通过java代码实现脚本自动运行.
这种呢也是,危害也是大的,早些年被认为只能用于alert(“xss”)这样的测试
直到后期网络安全相关方面人员才认识到危害
这种呢现在也比较少了
CSRF:
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CS
RF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内
的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流
行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
介绍转自百度百科:https://baike.baidu.com/item/CSRF
简单来说就是单用户点击链接时会执行链接的操作,一般是因为没有验证来者(Referer)造成的
就比如A用户买了个商品,支付啦100元
B用户点击了A用户的链接以后就会去执行A用户执行的操作
这种漏洞存在的危害性也比较大,并且这种漏洞现在存在的也较多
文件上传漏洞:
这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。 导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。 介绍转自百度百科:https://baike.baidu.com/item/%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E/11003736 简单理解就是,上传的文件中包含着木马,并且上传后能够执行 比如我们上传我们的头像,一般上传是png格式,然后通过burp抓包放包后改为php... 这种漏洞一般也是用于提权(shell) ? ? ? ?
内容总结
以上是互联网集市为您收集整理的简单介绍sql xss csrf 和文件上传漏洞全部内容,希望文章能够帮你解决简单介绍sql xss csrf 和文件上传漏洞所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。