Kosmos Kosmos

---我们总得选择一条路去前行---

目录
2018-08-18
/  

2018-08-18

SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
select * from username = ____ and password=_____
select * from username "test" or ""="" and password="123456"

XSS

XSS则是攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
<p style='color:red'>你好啊,尊敬的______<p>
<p style='color:red'>你好啊,尊敬的 xxx<script>alert(1)</script><p>

远程命令执行

而远程命令执行,是用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致执行命令。
ping _______
ping www.baidu.com & wget xxxxxxxxxxx

越权

越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽 ,对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。
Cookie: uid=11426;
Cookie: uid=1;


今日诗词 标题:2018-08-18
作者:ellenbboe
地址:https://ellenbboe.github.io/articles/2018/08/18/1561009681248.html