本文是對web中最常見漏洞的乙個小結,既然是web漏洞,那自然而然不能忽略了owasp top10了。最新版的owasp top10還是2023年公布的。如下:
注入失效的身份認證
敏感資訊洩露
xml 外部實體(xxe)
失效的訪問控制
安全配置錯誤
跨站指令碼(xss)
不安全的反序列化
使用含有已知漏洞的元件
不足的日誌記錄和監控
詳情:owasp top 10 2017
以下是個人根據漏洞分類進行總結:
注入類漏洞:
注入類漏洞是應用違背了「資料與**分離原則」導致的結果。它有兩個條件:一是使用者能夠控制資料的輸入,二是**拼湊了使用者輸入的資料,把資料當成**執行了。在對抗注入攻擊時,只需要牢記「資料與**分離原則」,在拼湊的地方進行安全檢查。
檔案類漏洞:
跨站類漏洞:
配置錯誤漏洞:
反序列化漏洞:
邏輯類漏洞:
web伺服器漏洞:
第三方庫漏洞:
本文是對web中最常見漏洞的乙個小結,既然是web漏洞,那自然而然不能忽略了owasp top10了。最新版的owasp top10還是2023年公布的。如下:
Web安全之XSS攻擊與防禦小結
web安全之xss攻防 1.xss的定義 跨站指令碼攻擊 cross site scripting 縮寫為xss。惡意攻擊者往web頁面裡插入惡意script 當使用者瀏覽該頁之時,嵌入其中web裡面的script 會被執行,從而達到惡意攻擊使用者的目的。2.xss的原理 3.xss的攻擊方式 1 ...
Web安全之XSS攻擊與防禦小結
web安全之xss攻防 1.xss的定義 跨站指令碼攻擊 cross site scripting 縮寫為xss。惡意攻擊者往web頁面裡插入惡意script 當使用者瀏覽該頁之時,嵌入其中web裡面的script 會被執行,從而達到惡意攻擊使用者的目的。2.xss的原理 3.xss的攻擊方式 1 ...
Web安全 Web通訊
協議 url http 統一資源定位符 uniform resource locator 支援多種協議 http ftp 定位伺服器的資源 schema host port path query string anchor schema 底層協議 如 http https ftp host 伺服器的...