web安全相关概念解析
感谢这个学习网站
1.SQL注入
通过在用户可控参数中注入 SQL 语法,破坏原有 SQL 结构
原因:程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造 SQL 语句
未对用户可控参数进行足够的过滤便将参数内容拼接进入到 SQL 语句中
2.XSS跨站脚本攻击
恶意攻击者往 WEB 页面里插入恶意 HTML 代码,当用户浏览该页之时,嵌入其中 Web 里面的 HTML 代码会被执行
3.命令执行
当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。
4.文件包含
如果允许客户端用户输入控制动态包含在服务器端的文件,会导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。
5.CSRF跨站请求伪造
跨站请求伪造(Cross-Site Request Forgery,CSRF)是一种使已登录用户在不知情的情况下执行某种动作的攻击。因为攻击者看不到伪造请求的响应结果,所以 CSRF 攻击主要用来执行动作,而非窃取用户数据。当受害者是一个普通用户时,CSRF 可以实现在其不知情的情况下转移用户资金、发送邮件等操作;但是如果受害者是一个具有管理员权限的用户时 CSRF 则可能威胁到整个 WEB 系统的安全。
6.文件上传
数据结构还要等等
