常见安全问题
来源:互联网 发布:在淘宝网上怎么买车 编辑:程序博客网 时间:2024/05/23 19:35
web安全问题常由直接和间接的输入导致
直接输入:GET、POST、COOKIE、HTTP头环境变量;
间接输入:数据库取出的数据、编码的用户数据
1.缓冲区溢出(长字符)
2.元字符(HTML<>)
3.路径遍历(../../../pass/root)
4.sql注入检查(‘where 1=1’ ;
http://victim/news.php?id=3721、
select * from news where id=$id、
select * from news where id=3721;
http://victim/news.php?id=0 union selectname,pw from users 、
select * from news where id=$id、
select * from news where id=0 union selectname,pw from users
5.跨站执行脚本(
http://www.example.com/?name=<script>alert(/XSS/)</script>
展现:
<html>
<body>
<p>Hello<script>alert(/XSS/)</script></p>
</body>
</html>
8.资源读写权限(通过URL提升、通过改变Userid
9.操作的权限()
10.session的权限()
11.vAccessControl攻击例子(前台代码)
<formaction="http://www.example.com/message/pmsg/read.html"method="post">
<inputtype="hidden" name="messageId" value="54981193">
<input type="button"name="delete" value="删除留言"onClick="delMessage()">
后台
检查了角色
但是短消息属于用户,不属于角色
publicbooleancanManageMssage()
{
if (isAdmin())
{ return true; }
……
}
解决方式,消息必须属于用户,才能有该用户删除
常用安全扫描工具
appsan
AcunetixWebInspect
- 常见安全问题
- 新手常见安全问题
- ASP.NET常见安全问题
- 【常见Web应用安全问题】
- web开发常见安全问题
- Web 开发常见安全问题
- Web 开发常见安全问题
- PHP常见的安全问题
- 常见的 App 安全问题
- Web站点常见安全问题
- Web 开发常见安全问题
- web开发常见安全问题
- Web 开发常见安全问题
- web前端常见安全问题
- Windows操作系统常见安全问题解决方法
- 网站编程中的常见安全问题
- 路由器常见安全问题以及解决方案
- 网站常见的安全问题说明
- 由斐波那契数浅谈递归运行效率问题
- MySQL选择优化的数据类型
- 一种直播时移方法及服务器的制造方法
- Java-Web之过滤器
- 关于Java防盗链
- 常见安全问题
- Objective-C - 异常处理(NSException)
- 深度优先搜索2-Sudoku(算法基础 第7周)
- 装饰模式和代理模式区别(详细)
- fstream引用作为函数返回值问题
- Python Web 2 —— 类和函数的声明和调用
- 关于在linux下面和WIN7下面新建一个TinkPHP3.1.3和3.2.3项目--探讨
- [iOS]苹果开发证书 一个证书多人开发 注意项
- Java传参