總結(jié)下web 常見的幾個漏洞

創(chuàng)新互聯(lián)建站是專業(yè)的忻府網(wǎng)站建設(shè)公司，忻府接單;提供成都網(wǎng)站設(shè)計、成都做網(wǎng)站,網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行忻府網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊,希望更多企業(yè)前來合作!

1.SQL注入

2.XSS跨站點腳本

3.緩沖區(qū)溢出

4.cookies修改

5.上傳漏洞

6.命令行注入

1 sql 漏洞 

 SQL注入***是***對數(shù)據(jù)庫進(jìn)行***的常用手段之一。隨著B/S模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于程序員的水平及經(jīng)驗也參差不齊，相當(dāng)大一部分程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。

2 XSS 夸站點漏洞

   XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。***者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由于被***用來編寫危害性更大的網(wǎng)絡(luò)釣魚(Phishing)***而變得廣為人知。對于跨站腳本***，***界共識是：跨站腳本***是新型的“緩沖區(qū)溢出***“，而JavaScript是新型的“ShellCode”。

3  緩沖區(qū)溢出

 緩沖區(qū)溢出漏洞是指在程序試圖將數(shù)據(jù)放到及其內(nèi)存中的某一個位置的時候，因為沒有足夠的空間就會發(fā)生緩沖區(qū)溢出的現(xiàn)象。

4 cookies修改

    基于上述建議，即使 Cookie 被竊取，卻因 Cookie 被隨機更新，且內(nèi)容無規(guī)律性，***者無法加以利用。另外利用了時間戳另一大好處就是防止 Cookie 篡改或重放。

Cookie 竊取：搜集用戶cookie并發(fā)給***者的***。***者將利用cookie信息通過合法手段進(jìn)入用戶帳戶。

Cookie 篡改：利用安全機制，***者加入代碼從而改寫 Cookie 內(nèi)容，以便持續(xù)***。

5上傳漏洞

    這個漏洞在DVBBS6.0時代被***們利用的最為猖獗，利用上傳漏洞可以直接得到WEBSHELL，危害等級超級高，現(xiàn)在的***中上傳漏洞也是常見的漏洞。

導(dǎo)致該漏洞的原因在于代碼作者沒有對訪客提交的數(shù)據(jù)進(jìn)行檢驗或者過濾不嚴(yán)，可以直接提交修改過的數(shù)據(jù)繞過擴展名的檢驗。

6 命令行注入

  所謂的命令行輸入就是webshell 了，拿到了權(quán)限的***可以肆意妄為

關(guān)于怎么防護(hù)web 應(yīng)用這里推薦一個視頻小教程，里面有附帶防御腳本 

http://www.roncoo.com/details/b32a545a747440bd893f632427740604