介紹XXE漏洞 XML外部實體注入(XML External Entity)簡稱XXE漏洞，XML用於標記電子文件使其具有結構性的標記語言，可以用來標記數據、定義數據類型，是-種允許用戶對自己的標記語言進行定義的源語言。XML文檔結構包括XML聲明、DTD文檔類型定義(可選)文檔元素。 常見 ...

介紹邏輯漏洞 邏輯漏洞就是指攻擊者利用業務的設計缺陷，獲取敏感信息或破壞業務的完整性。一般出現在密碼修改、越權訪問、密碼找回、交易支付金額等功能處。其中越權訪問又有水平越權和垂直越權兩種，如下所示。 水平越權:相同級別(權限)的用戶或者同一角色中不同的用戶之間，可以越權訪問、修改或者刪除 ...

1.SQL注入 　　漏洞描述 　　Web程序中對於用戶提交的參數未做過濾直接拼接到SQL語句中執行，導致參數中的特殊字符破壞了SQL語句原有邏輯，攻擊者可以利用該漏洞執行任意SQL語句，如查詢數據、下載數據、寫入webshell、執行系統命令以及繞過登錄限制等。 　　修復建議 代碼層最佳 ...

1、漏洞描述 跨站腳本攻擊（Cross-site scripting，通常簡稱為XSS）發生在客戶端，可被用於進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。 惡意的攻擊者將對客戶端有危害的代碼放到服務器上作為一個網頁內容， 使得其他網站用戶在觀看此網頁時，這些代碼注入到了 ...

1.sql注入 漏洞描述 web程序中對於用戶提交的參數未做過濾直接拼接到sql語句中執行，導致參數中的特殊字符破壞了sql語句原有邏輯，攻擊者可以利用該漏洞執行任意sql語句、如查詢，下載，寫入webshell，執行系統命令以及繞過登陸限制等 修復建議 代碼層最佳防御sql漏洞方案：使用預編 ...

轉載地址：https://security.pingan.com/blog/17.html SQL注入 在服務器端要對所有的輸入數據驗證有效性。 在處理輸入之前，驗證所有客戶端提供的數據，包括所有 ...

1.SQL注入 　　漏洞描述 　　Web程序中對於用戶提交的參數未做過濾直接拼接到SQL語句中執行，導致參數中的特殊字符破壞了SQL語句原有邏輯，攻擊者可以利用該漏洞執行任意SQL語句，如查詢數據、下載數據、寫入webshell、執行系統命令以及繞過登錄限制等。 　　修復建議 代碼層最佳 ...

TAG Log4j2、JNDI、RCE 漏洞等級： 攻擊者利用此漏洞，可實現遠程代碼執行。 版本： 1.1 簡介 Apache ...