标签目录:web

以下是与标签 “web” 相关联的文章

XML常见攻击

名称:xpath注入 描述:XPath注入攻击是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。 修复方案: 1、数据提交到服务器上端,在服务端正式处理这批数据之前,对提交数据的合法性进行验证。 2、检查提交的数据……

文件上传(File Upload)攻击

名称:文件上传攻击(File Upload) 描述:Web 应用程序在处理用户上传的文件操作时,如果用户上传文件的路径、文件名、扩展名成为用户可控的数据,就会导致直接上传脚本木马到 web 服务器上,直接控制 web 服务器。 修复方案: 1、检查上传文件扩展名白名单,不属于白名单内,不允许上传。 2、上传文件路径……

文件包含(File Include)攻击

名称:文件包含攻击(File Include) 描述:本地文件包含是指程序代码在处理包含文件的时候没有严格控制。利用这个漏洞,攻击者可以先把上传的静态文件,或网站日志文件作为代码执行,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。 修复方案: 1、严格检查变量是否……

命令执行(OS Commanding)攻击

名称:命令执行攻击(OS Commanding) 描述:系统提供命令执行类函数主要方便处理相关应用场景的功能。而当不合理的使用这类函数,同时调用的变量未考虑安全因素,就会执行恶意的命令调用,被攻击利用。 修复方案: 1、尽量避免使用可以系统命令执行函数。 2、因其危险性,执行命令的参数不要使用外部获……

代码注入(CODE Injection)攻击

名称:代码注入攻击(CODE Injection) 描述:Web应用代码中,允许接收用户输入一段代码,之后再Web应用服务器上执行这段代码,并返回给客户。由于用户可以自定义输入一段代码,在服务器上执行,所以恶意用户可以写一个远程控制木马,直接获取服务器控制权限,所有服务器上的资源都会被恶意用户获取和修改,甚至可以……

SQL注入(SQL Injection)攻击

名称: SQL注入漏洞(SQL Injection) 描述:Web程序代码中对于用户提交的参数未做过滤就直接放到SQL语句中执行,导致参数中的特殊字符打破了SQL语句原有逻辑,黑客可以利用该漏洞执行任意SQL语句。 检测方法:通过修改参数来判断是否存在漏洞。 修复方案: 1、所有的查询语句都使用数据库提供的参数……

XSS(cross site scripting)攻击

名称:跨站脚本攻击(cross site scripting) 描述:攻击者利用应用程序的动态展示数据功能,在html页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在html中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。 修复方案: 总体思路用户输入数据进行过滤,输出数据进行编码。 1、对……