总结下web 常见的几个漏洞
1.SQL注入
2.XSS跨站点脚本
3.缓冲区溢出
4.cookies修改
5.上传漏洞
6.命令行注入
1 sql 漏洞
SQL注入***是***对数据库进行***的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
2 XSS 夸站点漏洞
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。***者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被***用来编写危害性更大的网络钓鱼(Phishing)***而变得广为人知。对于跨站脚本***,***界共识是:跨站脚本***是新型的“缓冲区溢出***“,而JavaScript是新型的“ShellCode”。
3 缓冲区溢出
缓冲区溢出漏洞是指在程序试图将数据放到及其内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出的现象。
4 cookies修改
基于上述建议,即使 Cookie 被窃取,却因 Cookie 被随机更新,且内容无规律性,***者无法加以利用。另外利用了时间戳另一大好处就是防止 Cookie 篡改或重放。
Cookie 窃取:搜集用户cookie并发给***者的***。***者将利用cookie信息通过合法手段进入用户帐户。
Cookie 篡改:利用安全机制,***者加入代码从而改写 Cookie 内容,以便持续***。
5上传漏洞
这个漏洞在DVBBS6.0时代被***们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的***中上传漏洞也是常见的漏洞。
导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。
6 命令行注入
所谓的命令行输入就是webshell 了,拿到了权限的***可以肆意妄为
关于怎么防护web 应用这里推荐一个视频小教程,里面有附带防御脚本
http://www.roncoo.com/details/b32a545a747440bd893f632427740604
