跨站攻击与文件上传漏洞
Posted gufengchen
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了跨站攻击与文件上传漏洞相关的知识,希望对你有一定的参考价值。
SQL注入:
原理:用户输入作为SQL命令被执行
SQL注入实践,SQLMAP
黑名单校验:
前端javascript校验:
Content-type校验:
任意文件下载漏洞:
二、跨站脚本漏洞:
原理:跨站漏洞是一种 经常出现在Web应用程序中的计算机安全漏洞,是由于Web 应用程序中对用户的输入过滤不足,而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页之中, 其他用户浏览这些网页时就会执行其中的恶意代码,对受害者可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻击。
XSS漏洞成因:
是由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤,允许用户在提交的数据中参入html代码(最主要的是”>","<"),然后未加编码第输出到第三方用户的浏览器,这些攻击者恶意提交代码会被受害用户的浏览器解释执行。
XSS挖掘(1)
XSS挖掘(2)
以上是关于跨站攻击与文件上传漏洞的主要内容,如果未能解决你的问题,请参考以下文章
WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入XSS跨站Webshell上传命令注入非法HTTP协议请求非授权文件访问等