SQL注入 成因：程序未對用戶的輸入的內容進行過濾，從而直接代入數據庫查詢，所以導致了sql 注入 漏洞 。 思路：在URL處可以通過 單引號 和 and 1=1 and 1=2 等語句進行手工測試sql注入 。 Post 注入：比如后台登錄框輸入單引號測試注入，報錯的話說明存在注入 ...

1. SQL 注入 1.1 什么是SQL注入？ SQL注入是一種代碼注入技術，一般被應用於攻擊web應用程序。它通過在web應用接口傳入一些特殊參數字符，來欺騙應用服務器，執行惡意的SQL命令，以達到非法獲取系統信息的目的。它目前是黑客對數據庫進行攻擊的最常用手段之一。 1.2 SQL注入 ...

1.什么是Web漏洞 　　WEB漏洞通常是指網站程序上的漏洞，可能是由於代碼編寫者在編寫代碼時考慮不周全等原因而造成的漏洞。如果網站存在WEB漏洞並被黑客攻擊者利用，攻擊者可以輕易控制整個網站，並可進一步提前獲取網站服務器權限，控制整個服務器。 2. 常見的web安全漏洞 2.1 SQL注入 ...

今天看到一篇公眾號文章寫的關於中間件漏洞的整理，里面有部分是我不知道的，轉載一下， https://mp.weixin.qq.com/s/2rSNjMxHZjAGMmzKStF28w 第一章：IIS IIS 6 解析漏洞 ...

背景介紹 Web應用一般是指B/S架構的通過HTTP/HTTPS協議提供服務的統稱。隨着互聯網的發展，Web應用已經融入了我們的日常生活的各個方面。在目前的Web應用中，大多數應用不都是靜態的網頁瀏覽，而是涉及到服務器的動態處理。如果開發者的安全 ...

1、安全攻擊 1、SQL、HTML、JS、OS命令注入 2、XSS跨站腳本攻擊，利用站內信任的用戶，在web頁面插入惡意script代碼 3、CSRF跨站請求偽造，通過偽裝來自信任用戶的請求來利用受信任的網站。 4、目錄遍歷漏洞 5、參數篡改 ...

1.XSS 原理是攻擊者向有XSS漏洞的網站中輸入(傳入)惡意的HTML代碼，當用戶瀏覽該網站時，這段HTML代碼會自動執行，從而達到攻擊的目的。如，盜取用戶Cookie信息、破壞頁面結構、重定向到其它網站等。 理論上，只要存在能提供輸入的表單並且沒做安全過濾或過濾不徹底，都有可能存在XSS ...

1. HTML表單沒有CSRF保護 1.1 問題描述： CSRF（Cross-site request forgery），中文名稱：跨站請求偽造，也被稱 ...