總結(jié)下web 常見(jiàn)的幾個(gè)漏洞

創(chuàng)新互聯(lián)專(zhuān)業(yè)為企業(yè)提供灤南網(wǎng)站建設(shè)、灤南做網(wǎng)站、灤南網(wǎng)站設(shè)計(jì)、灤南網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、灤南企業(yè)網(wǎng)站模板建站服務(wù)，10多年灤南做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

1.SQL注入

2.XSS跨站點(diǎn)腳本

3.緩沖區(qū)溢出

4.cookies修改

5.上傳漏洞

6.命令行注入

1 sql 漏洞

 SQL注入***是***對(duì)數(shù)據(jù)庫(kù)進(jìn)行***的常用手段之一。隨著B(niǎo)/S模式應(yīng)用開(kāi)發(fā)的發(fā)展，使用這種模式編寫(xiě)應(yīng)用程序的程序員也越來(lái)越多。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶(hù)輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶(hù)可以提交一段數(shù)據(jù)庫(kù)查詢(xún)代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。

2 XSS 夸站點(diǎn)漏洞

  XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計(jì)算機(jī)安全漏洞，它允許惡意web用戶(hù)將代碼植入到提供給其它用戶(hù)使用的頁(yè)面中。比如這些代碼包括HTML代碼和客戶(hù)端腳本。***者利用XSS漏洞旁路掉訪(fǎng)問(wèn)控制——例如同源策略(same origin policy)。這種類(lèi)型的漏洞由于被***用來(lái)編寫(xiě)危害性更大的網(wǎng)絡(luò)釣魚(yú)(Phishing)***而變得廣為人知。對(duì)于跨站腳本***，***界共識(shí)是：跨站腳本***是新型的“緩沖區(qū)溢出***“，而JavaScript是新型的“ShellCode”。

3  緩沖區(qū)溢出

 緩沖區(qū)溢出漏洞是指在程序試圖將數(shù)據(jù)放到及其內(nèi)存中的某一個(gè)位置的時(shí)候，因?yàn)闆](méi)有足夠的空間就會(huì)發(fā)生緩沖區(qū)溢出的現(xiàn)象。

4 cookies修改

    基于上述建議，即使 Cookie 被竊取，卻因 Cookie 被隨機(jī)更新，且內(nèi)容無(wú)規(guī)律性，***者無(wú)法加以利用。另外利用了時(shí)間戳另一大好處就是防止 Cookie 篡改或重放。

Cookie 竊?。核鸭脩?hù)cookie并發(fā)給***者的***。***者將利用cookie信息通過(guò)合法手段進(jìn)入用戶(hù)帳戶(hù)。

Cookie 篡改：利用安全機(jī)制，***者加入代碼從而改寫(xiě) Cookie 內(nèi)容，以便持續(xù)***。

5上傳漏洞

   這個(gè)漏洞在DVBBS6.0時(shí)代被***們利用的最為猖獗，利用上傳漏洞可以直接得到WEBSHELL，危害等級(jí)超級(jí)高，現(xiàn)在的***中上傳漏洞也是常見(jiàn)的漏洞。

導(dǎo)致該漏洞的原因在于代碼作者沒(méi)有對(duì)訪(fǎng)客提交的數(shù)據(jù)進(jìn)行檢驗(yàn)或者過(guò)濾不嚴(yán)，可以直接提交修改過(guò)的數(shù)據(jù)繞過(guò)擴(kuò)展名的檢驗(yàn)。

6 命令行注入

 所謂的命令行輸入就是webshell 了，拿到了權(quán)限的***可以肆意妄為

關(guān)于怎么防護(hù)web 應(yīng)用這里推薦一個(gè)視頻小教程，里面有附帶防御腳本

http://www.roncoo.com/details/b32a545a747440bd893f632427740604

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

標(biāo)題名稱(chēng)：web應(yīng)用的常見(jiàn)漏洞有哪些-創(chuàng)新互聯(lián)
本文來(lái)源：http://jinyejixie.com/article48/dedsep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營(yíng)銷(xiāo)推廣、手機(jī)網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)、靜態(tài)網(wǎng)站、用戶(hù)體驗(yàn)、網(wǎng)站營(yíng)銷(xiāo)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)