跨站腳本攻擊(XSS)
存儲型XSS攻擊
常見的就是富文本編輯器保存的html,需要到頁面上渲染,如果保存了釣魚網站的超鏈接,或者惡意引導,則渲染時會觸發xss攻擊。
反射型XSS攻擊
DOM型XSS攻擊
CSP(content security policy) 內容安全策略
CSRF
URL跳轉漏洞
Session劫持
注入攻擊
SQL注入
正則注入
日誌注入
如果直接把外部輸入進行打印,則可能會出現日誌注入,大量的換行放大日誌文件大小,影響磁盤容量。
XML注入
文件上傳漏洞
命令注入
訪問控制
一般都有權限管理系統,建立用戶-角色-權限的模型,在Linux對文件和文件夾都分爲了「讀」、「寫」、「執行」三種能力。 對於web後端來說,基於url來做訪問控制,前端來說則是通過後端傳來的權限,對按鈕頁面做權限控制。
垂直權限(功能權限)
縱向越權,比如管理員可以有更高權限的功能,而普通用戶也能通過請求接口執行成功,那就是縱向越權。 現在應用廣泛的就是好“基於角色的訪問控制”(Role-Based Access Control)簡稱RBAC。可以使用Spring Security。
水平權限(數據權限)
同爲團隊經理,縱向權限相同,但是團隊內的數據要隔離,如果僅僅根據功能權限能訪問到其他團隊的數據,則有橫向越權的問題。
DDOS攻擊
DDOS是(Distributed Denial of Service)的縮寫,即分佈式阻斷服務