9月 10

WEB程序的安全防御机制(一)

互联网上的WEB程序需要大量的安全机制来防御攻击。安全机制主要有:①处理用户的访问WEB的功能和数据,防止未授权访问。②处理用户的输入,防止用户的错误输入对程序造成影响。

继续阅读

8月 28

跨站点脚本(xss)解析(二)保存型xss漏洞

保存型xss漏洞意思是用户A提交的数据没有经过过滤,就保存在web程序中(通常是数据库中),然后直接展示给其他用户。 这样如果数据中有恶意的代码,就会在用户的浏览器中直接执行。 继续阅读

8月 28

跨站点脚本(xss)解析(一)反射型xss漏洞

跨站点脚本(xss)即:cross  site script, 也经常存在于web程序中,它是往web页面中插入代码html语句、js语句等。如果服务器端没有对其进行过滤,当用户浏览该网页时,我们插入的代码就会在用户的浏览器中执行。 继续阅读

8月 23

sql注入解析(二)执行注入

sql注入解析(一)https://www.yeetrack.com/wordpress/?p=20
探查程序是否存在sql注入漏洞:
利用字符串数据:
1、提交一个单引号,观察是否处理出错。
2、提交两个单引号,两个单引号在数据库中会被转义,当做字符单引号处理,如果错误消息,则说明程序可能存在sql注入漏洞。 继续阅读

8月 23

sql注入解析(一)基本语法

sql注入是代码注入的一种,也是最流行、破坏性较高的一种。前几年sql注入很流行,现在的网站一般都是直接基于框架搭建,参数传递,sql注入一般很隐蔽了,不容易找;但是一些学校、政府和小型网站sql注入漏洞还是很常见的。 继续阅读