0
点赞
收藏
分享

微信扫一扫

Web漏洞的原理以及修复总结(一)

本文章仅供学习分享使用,不做任何的违法行为!!!

一.漏洞原理:

  1. sql注入漏洞:我在页面表单提交的数据传到后端做处理时,没有做严格的判断,像一些特殊的字符#,’, “ ,)他没有做严格的过滤,传输到后端时将数据拼接到sql语句中执行,因此,我可以构造一些特殊的语句像查询数据库的版本讯息,数据库名表名等,去挖掘数据库的敏感信息。
  2. 文件上传漏洞:我在开发网站的时候,没有考虑到安全的一个问题,比如说没有考虑上传文件的格式的后缀合法性,这时候攻击者可以上传一个恶意的脚本文件到服务器上,这个恶意脚本文件可以是一些病毒,木马,webshell,web脚本文件,如果其他用户访问该恶意脚本文件时,就能够解析出来恶意的代码,这时候就会对其他用户造成危害。
  3. 文件包含漏洞:分为本地文件包含和远程文件包含。

我作为一个程序员,我不想写太多的重复的代码,我想偷懒,这时候我引入一个文件包含的函数,简单来说就是一个文件包含另一个文件或者多个文件,来解决我这问题,但是如果包含的任意后缀文件会被当作代码执行,这时候攻击者还知道我包含文件的路径,那么很有可能

举报

相关推荐

0 条评论