介紹XXE漏洞 XML外部實體注入(XML External Entity)簡稱XXE漏洞，XML用於標記電子文件使其具有結構性的標記語言，可以用來標記數據、定義數據類型，是-種允許用戶對自己的標記語言進行定義的源語言。XML文檔結構包括XML聲明、DTD文檔類型定義(可選)文檔元素。 常見 ...

應用程序有時需要調用一些執行系統命令的函數，如在PHP中，使用system、exec、shell_exec、passthru、popen、proc_popen等函數可以執行系統命令。當黑客能控制這些函數中的參數時，就可以將惡意的系統命令拼接到正常命令中，從而造成命令執行攻擊，這就是命令執行漏洞 ...

越權訪問簡介 一般越權訪問包含未授權訪問、平行越權、垂直越權。 未授權訪問：就是在沒有任何授權的情況下對需要認證的資源進行訪問以及增刪改查。 垂直越權：通過低權限向高權限跨越形成垂直越權訪問。 平行越權，顧名思義就是同等用戶權限之下，不用進入其他用戶的賬戶也可以對別的用戶資料或者訂單等信息 ...

1.SQL注入 　　漏洞描述 　　Web程序中對於用戶提交的參數未做過濾直接拼接到SQL語句中執行，導致參數中的特殊字符破壞了SQL語句原有邏輯，攻擊者可以利用該漏洞執行任意SQL語句，如查詢數據、下載數據、寫入webshell、執行系統命令以及繞過登錄限制等。 　　修復建議 代碼層最佳 ...

1、漏洞描述 跨站腳本攻擊（Cross-site scripting，通常簡稱為XSS）發生在客戶端，可被用於進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。 惡意的攻擊者將對客戶端有危害的代碼放到服務器上作為一個網頁內容， 使得其他網站用戶在觀看此網頁時，這些代碼注入到了 ...

1.sql注入 漏洞描述 web程序中對於用戶提交的參數未做過濾直接拼接到sql語句中執行，導致參數中的特殊字符破壞了sql語句原有邏輯，攻擊者可以利用該漏洞執行任意sql語句、如查詢，下載，寫入webshell，執行系統命令以及繞過登陸限制等 修復建議 代碼層最佳防御sql漏洞方案：使用預編 ...

轉載地址：https://security.pingan.com/blog/17.html SQL注入 在服務器端要對所有的輸入數據驗證有效性。 在處理輸入之前，驗證所有客戶端提供的數據，包括所有 ...

1.SQL注入 　　漏洞描述 　　Web程序中對於用戶提交的參數未做過濾直接拼接到SQL語句中執行，導致參數中的特殊字符破壞了SQL語句原有邏輯，攻擊者可以利用該漏洞執行任意SQL語句，如查詢數據、下載數據、寫入webshell、執行系統命令以及繞過登錄限制等。 　　修復建議 代碼層最佳 ...