中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

 1 SQL注入

許多網(wǎng)站程序在編寫時(shí)，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼，（一般是在瀏覽器地址欄進(jìn)行，通過(guò)正常的www端口訪問(wèn)）根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection ，即SQL注入。
其主要危害有：在未經(jīng)授權(quán)狀況下操作數(shù)據(jù)庫(kù)中的數(shù)據(jù)；惡意篡改網(wǎng)頁(yè)內(nèi)容；私自添加系統(tǒng)賬號(hào)或者是數(shù)據(jù)庫(kù)使用者賬號(hào)；網(wǎng)頁(yè)掛木馬等。

SQL注入被廣泛用于非法入侵網(wǎng)站服務(wù)器，獲取網(wǎng)站控制權(quán)。它是應(yīng)用層上的一種安全漏洞。通常在設(shè)計(jì)存在缺陷的程序中，對(duì)用戶輸入的數(shù)據(jù)沒(méi)有做好過(guò)濾，導(dǎo)致惡意用戶可以構(gòu)造一些SQL語(yǔ)句讓服務(wù)器去執(zhí)行，從而導(dǎo)致數(shù)據(jù)庫(kù)中的數(shù)據(jù)被竊取，篡改，刪除，以及進(jìn)一步導(dǎo)致服務(wù)器被入侵等危害。

2 XSS

XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。
其主要危害有：攻擊者通常會(huì)在有漏洞的程序中插入 JavaScript、VBScript、ActiveX或Flash以欺騙用戶。一旦得手，他們可以盜取用戶帳戶，修改用戶設(shè)置，盜取/污染cookie，做虛假?gòu)V告等。

發(fā)生在客戶端DOM（Document Object Model文檔對(duì)象模型）DOM是一個(gè)與平臺(tái)、編程語(yǔ)言無(wú)關(guān)的接口，它允許程序或腳本動(dòng)態(tài)地訪問(wèn)和更新文檔內(nèi)容、結(jié)構(gòu)和樣式，處理后的結(jié)果能夠成為顯示頁(yè)面的一部分。DOM中有很多對(duì)象，其中一些是用戶可以操縱的，如uRI ，location，refelTer等。客戶端的腳本程序可以通過(guò)DOM動(dòng)態(tài)地檢查和修改頁(yè)面內(nèi)容，它不需要提交數(shù)據(jù)到服務(wù)器端，而從客戶端獲得DOM中的數(shù)據(jù)在本地執(zhí)行，如果DOM中的數(shù)據(jù)沒(méi)有經(jīng)過(guò)嚴(yán)格確認(rèn)，就會(huì)產(chǎn)生DOM XSS漏洞

3 信息泄露

信息泄露是指應(yīng)用程序泄露應(yīng)該保密的信息，例如客戶端注釋中泄露敏感信息、系統(tǒng)日志泄露敏感信息等。這些泄露的信息可能會(huì)對(duì)攻擊者進(jìn)一步了解應(yīng)用程序，以致攻擊應(yīng)用程序提供一定的幫助。

用戶認(rèn)證信息明文傳輸: 用戶認(rèn)證信息不是通過(guò)https加密信道傳輸，導(dǎo)致用戶名密碼等敏感信息泄露。

4 越權(quán)漏洞

越權(quán)漏洞是指由于應(yīng)用程序未正確實(shí)現(xiàn)授權(quán)功能，造成用戶可以執(zhí)行其沒(méi)有資格執(zhí)行的操作，包括可以查看或修改他本身沒(méi)資格查看或修改的資源，以及可以執(zhí)行用戶本身沒(méi)有的功能。


5 暴力破解

暴力破解是一種針對(duì)于密碼的破譯方法，即將密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止。攻擊者利用該漏洞可以破解存在該漏洞的應(yīng)用程序的用戶密碼。


6 文件上傳漏洞

文件上傳漏洞是由于程序員在對(duì)用戶文件上傳部分的控制不足或者處理缺陷，而導(dǎo)致的用戶可以越過(guò)其本身權(quán)限向服務(wù)器上上傳可執(zhí)行的動(dòng)態(tài)腳本文件。惡意攻擊者利用該漏洞可以直接向服務(wù)器上傳一個(gè) webshell( 又稱 ASP 木馬、PHP 木馬等即利用服務(wù)器端的文件操作語(yǔ)句寫成的動(dòng)態(tài)網(wǎng)頁(yè)，可以用來(lái)編輯你服務(wù)器上的文件 )，從而控制該網(wǎng)站。


7 CSRF

跨站請(qǐng)求偽造（CSRF）是 Web 應(yīng)用程序一種常見(jiàn)的漏洞，其攻擊特性是危害性大但非常隱蔽，尤其是在大量 Web 2.0 技術(shù)的應(yīng)用的背景下，CSRF 攻擊完全可以在用戶法毫無(wú)察覺(jué)的情況下發(fā)起攻擊。發(fā)起的目標(biāo)都是通過(guò)偽造一個(gè)用戶請(qǐng)求，該請(qǐng)求不是用戶想發(fā)出去的請(qǐng)求，而對(duì)服務(wù)器或服務(wù)來(lái)說(shuō)這個(gè)請(qǐng)求是完全合法的一個(gè)請(qǐng)求，但是卻完成了一個(gè)攻擊者所期望的操作，比如添加一個(gè)用戶到管理者的群組中，或?qū)⒁粋€(gè)用戶的現(xiàn)金轉(zhuǎn)到另外的一個(gè)帳戶中。


8 路徑遍歷漏洞

許多功能強(qiáng)迫Web應(yīng)用程序根據(jù)用戶在請(qǐng)求中提交的參數(shù)向文件系統(tǒng)讀取或?qū)懭霐?shù)據(jù)。如果以不安全的方式執(zhí)行這些操作，攻擊者就可以提交專門設(shè)計(jì)的輸入，使得應(yīng)用程序訪問(wèn)開發(fā)者并不希望他訪問(wèn)的文件，這就是路徑遍歷漏。攻擊者可利用這種缺陷讀取密碼和應(yīng)用程序日志之類的敏感數(shù)據(jù)，或者復(fù)寫安全性至關(guān)重要的數(shù)據(jù)項(xiàng)，如配置文件和軟件代碼。在最為嚴(yán)重的情況下，這種漏洞可使攻擊者能夠完全攻破應(yīng)用程序與基礎(chǔ)操作系統(tǒng)。


9 服務(wù)器開啟了不安全的http方法

OPTIONS方法是用于請(qǐng)求獲得由Request-URI標(biāo)識(shí)的資源在請(qǐng)求/響應(yīng)的通信過(guò)程中可以使用的功能選項(xiàng)。通過(guò)這個(gè)方法，客戶端可以在采取具體資源請(qǐng)求之前，決定對(duì)該資源采取何種必要措施，或者了解服務(wù)器的性能。開啟該方法有可能泄漏一些敏感信息，為攻擊者發(fā)起進(jìn)一步攻擊提供信息。

TRACE_Method是HTTP（超文本傳輸）協(xié)議定義的一種協(xié)議調(diào)試方法，該方法會(huì)使服務(wù)器原樣返回任意客戶端請(qǐng)求的任何內(nèi)容。由于該方法會(huì)原樣返回客戶端提交的任意數(shù)據(jù)，因此可以用來(lái)進(jìn)行跨站腳本（簡(jiǎn)稱XSS）攻擊，這種攻擊方式又稱為跨站跟蹤攻擊（簡(jiǎn)稱XST）。