1.web安全之文件上傳漏洞攻擊與防範方法
2.一句話木馬和中國菜刀的結合拿webshell
3.文件上傳 + 一句話木馬原理 + 菜刀的簡單使用
4.SQL注入初級
5.文件上傳漏洞
6.待學習—PING
web安全相關概念解析
感謝這個學習網站
1.SQL注入
通過在用戶可控參數中注入 SQL 語法,破壞原有 SQL 結構
原因:程序編寫者在處理應用程序和數據庫交互時,使用字符串拼接的方式構造 SQL 語句
未對用戶可控參數進行足夠的過濾便將參數內容拼接進入到 SQL 語句中
2.XSS跨站腳本攻擊
惡意攻擊者往 WEB 頁面裏插入惡意 HTML 代碼,當用戶瀏覽該頁之時,嵌入其中 Web 裏面的 HTML 代碼會被執行
3.命令執行
當用戶可以控制命令執行函數中的參數時,將可以注入惡意系統命令到正常命令中,造成命令執行攻擊。
4.文件包含
如果允許客戶端用戶輸入控制動態包含在服務器端的文件,會導致惡意代碼的執行及敏感信息泄露,主要包括本地文件包含和遠程文件包含兩種形式。
5.CSRF跨站請求僞造
跨站請求僞造(Cross-Site Request Forgery,CSRF)是一種使已登錄用戶在不知情的情況下執行某種動作的攻擊。因爲攻擊者看不到僞造請求的響應結果,所以 CSRF 攻擊主要用來執行動作,而非竊取用戶數據。當受害者是一個普通用戶時,CSRF 可以實現在其不知情的情況下轉移用戶資金、發送郵件等操作;但是如果受害者是一個具有管理員權限的用戶時 CSRF 則可能威脅到整個 WEB 系統的安全。
6.文件上傳
數據結構還要等等
