重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
总结下web 常见的几个漏洞
创新互联专业为企业提供滦南网站建设、滦南做网站、滦南网站设计、滦南网站制作等企业网站建设、网页设计与制作、滦南企业网站模板建站服务,10多年滦南做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。1.SQL注入
2.XSS跨站点脚本
3.缓冲区溢出
4.cookies修改
5.上传漏洞
6.命令行注入
1 sql 漏洞
SQL注入***是***对数据库进行***的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
2 XSS 夸站点漏洞
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。***者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被***用来编写危害性更大的网络钓鱼(Phishing)***而变得广为人知。对于跨站脚本***,***界共识是:跨站脚本***是新型的“缓冲区溢出***“,而JavaScript是新型的“ShellCode”。
3 缓冲区溢出
缓冲区溢出漏洞是指在程序试图将数据放到及其内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出的现象。
4 cookies修改
基于上述建议,即使 Cookie 被窃取,却因 Cookie 被随机更新,且内容无规律性,***者无法加以利用。另外利用了时间戳另一大好处就是防止 Cookie 篡改或重放。
Cookie 窃取:搜集用户cookie并发给***者的***。***者将利用cookie信息通过合法手段进入用户帐户。
Cookie 篡改:利用安全机制,***者加入代码从而改写 Cookie 内容,以便持续***。
5上传漏洞
这个漏洞在DVBBS6.0时代被***们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的***中上传漏洞也是常见的漏洞。
导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。
6 命令行注入
所谓的命令行输入就是webshell 了,拿到了权限的***可以肆意妄为
关于怎么防护web 应用这里推荐一个视频小教程,里面有附带防御脚本
http://www.roncoo.com/details/b32a545a747440bd893f632427740604
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。