介绍XXE漏洞 XML外部实体注入(XML External Entity)简称XXE漏洞，XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是-种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)文档元素。 常见 ...

应用程序有时需要调用一些执行系统命令的函数，如在PHP中，使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令。当黑客能控制这些函数中的参数时，就可以将恶意的系统命令拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞 ...

越权访问简介 一般越权访问包含未授权访问、平行越权、垂直越权。 未授权访问：就是在没有任何授权的情况下对需要认证的资源进行访问以及增删改查。 垂直越权：通过低权限向高权限跨越形成垂直越权访问。 平行越权，顾名思义就是同等用户权限之下，不用进入其他用户的账户也可以对别的用户资料或者订单等信息 ...

1.SQL注入 　　漏洞描述 　　Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行，导致参数中的特殊字符破坏了SQL语句原有逻辑，攻击者可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 　　修复建议 代码层最佳 ...

1、漏洞描述 跨站脚本攻击（Cross-site scripting，通常简称为XSS）发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容， 使得其他网站用户在观看此网页时，这些代码注入到了 ...

1.sql注入 漏洞描述 web程序中对于用户提交的参数未做过滤直接拼接到sql语句中执行，导致参数中的特殊字符破坏了sql语句原有逻辑，攻击者可以利用该漏洞执行任意sql语句、如查询，下载，写入webshell，执行系统命令以及绕过登陆限制等 修复建议 代码层最佳防御sql漏洞方案：使用预编 ...

转载地址：https://security.pingan.com/blog/17.html SQL注入 在服务器端要对所有的输入数据验证有效性。 在处理输入之前，验证所有客户端提供的数据，包括所有 ...

1.SQL注入 　　漏洞描述 　　Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行，导致参数中的特殊字符破坏了SQL语句原有逻辑，攻击者可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 　　修复建议 代码层最佳 ...