操作A用戶的權限的情況稱為垂直越權。 越權漏洞屬於邏輯漏洞，是由於權限校驗的邏輯不夠嚴謹導致的 ...

概述 簡介 在 Web 后台開發中，程序員往往為了提高效率以及讓代碼看起來更加簡潔，會使用 “包含” 函數功能。比如把一系列功能函數都寫進 function.php 中，之后當某個文件需要調用的時候直接在文件頭中寫上一句 <?php include function.php?> ...

概述 發生原因 SQL注入漏洞，主要是開發人員在構建代碼時，沒有對輸入邊界進行安全考慮，導致攻擊者可以通過合法的輸入點提交一些精心構造的語句，從而欺騙后台數據庫對其進行執行，導致數據庫信息泄漏的一種漏洞。 比如我們期望用戶輸入整數的id，但是用戶輸入了上圖中下面的語句，這是條能被正常執行 ...

概述 CSRF 是 Cross Site Request Forgery 的 簡稱，中文名為跨域請求偽造 在CSRF的攻擊場景中，攻擊者會偽造一個請求（一般是一個鏈接） 然后欺騙目標用 ...

概述 RCE（Remote Command/Code Execute） 給攻擊者向后台服務器遠程注入操作系統命令或者代碼，從而控制后台系統。 遠程系統命令執行一般出現這種漏洞，是因為應用系統從設計上需要給用戶提供指定的遠程命令操作的接口比如我們常見的路由器、防火牆、入侵檢測等設備的web管理 ...

概述 簡介 XSS是一種發生在Web前端的漏洞，所以其危害的對象也主要是前端用戶 XSS漏洞可以用來進行釣魚攻擊、前端js挖礦、盜取用戶cookie，甚至對主機進行遠程控制 攻擊流程 假設存在漏洞的是一個論壇，攻擊者將惡意的JS代碼通過XSS漏洞插入到論文的某一 ...

我們使用 IE 時，可以觀察到 Internet Explorer 有一種安全檢查機制叫做 SmartScreen，雖然它不是一種安全壁壘，但是可以有效幫助減少來自互聯網的欺騙與其他風險。 SmartScreen 篩選器在起初設計時，是為了檢查 IE 訪問的 URL，如果是釣魚網 ...

暴力破解 概述 Burte Force（暴力破解）概述 “暴力破解”是一攻擊具手段，在web攻擊中，一般會使用這種手段對應用系統的認證信息進行獲取。 其過程就是使用大量的認證信息在認證接 ...