漏洞概述： 国外网站 Contrast Security 于2016年2月24日在公开了Jenkins近日修复的一个可通过低权限用户调用 API 服务致使的命令执行漏洞详情。通过低权限用户构造一个恶意的 XML 文档发送至服务端接口，使服务端解析时调用 API 执行外部命令。 利用 ...

1.SQL注入 　　漏洞描述 　　Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行，导致参数中的特殊字符破坏了SQL语句原有逻辑，攻击者可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 　　修复建议 代码层最佳 ...

1、漏洞描述 跨站脚本攻击（Cross-site scripting，通常简称为XSS）发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容， 使得其他网站用户在观看此网页时，这些代码注入到了 ...

1.sql注入 漏洞描述 web程序中对于用户提交的参数未做过滤直接拼接到sql语句中执行，导致参数中的特殊字符破坏了sql语句原有逻辑，攻击者可以利用该漏洞执行任意sql语句、如查询，下载，写入webshell，执行系统命令以及绕过登陆限制等 修复建议 代码层最佳防御sql漏洞方案：使用预编 ...

应用程序有时需要调用一些执行系统命令的函数，如在PHP中，使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令。当黑客能控制这些函数中的参数时，就可以将恶意的系统命令拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞 ...

转载地址：https://security.pingan.com/blog/17.html SQL注入 在服务器端要对所有的输入数据验证有效性。 在处理输入之前，验证所有客户端提供的数据，包括所有 ...

1.SQL注入 　　漏洞描述 　　Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行，导致参数中的特殊字符破坏了SQL语句原有逻辑，攻击者可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 　　修复建议 代码层最佳 ...

1.介绍SSRF漏洞 SSRF (Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求，由服务端发起请求的安全漏洞。一般情况下，SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的，所以服务端能请求到与自身相连而与外网隔离的内部系统 ...