本文是对Web中最常见漏洞的一个小结:
注入类漏洞:
- SQL注入:SQL注入漏洞详解
- XML注入:XXE(XML外部实体注入)
- 代码注入:代码注入漏洞
- CRLF注入:CRLF注入
注入类漏洞是应用违背了“数据与代码分离原则”导致的结果。它有两个条件:一是用户能够控制数据的输入,二是代码拼凑了用户输入的数据,把数据当成代码执行了。在对抗注入攻击时,只需要牢记“数据与代码分离原则”,在拼凑的地方进行安全检查。
文件类漏洞:
本文是对Web中最常见漏洞的一个小结:
注入类漏洞:
注入类漏洞是应用违背了“数据与代码分离原则”导致的结果。它有两个条件:一是用户能够控制数据的输入,二是代码拼凑了用户输入的数据,把数据当成代码执行了。在对抗注入攻击时,只需要牢记“数据与代码分离原则”,在拼凑的地方进行安全检查。
文件类漏洞: