一、什么是漏洞
脆弱性是指系统中存在的弱点或缺陷、系统对特定威胁攻击或危险事件的敏感性或可能受到攻击的威胁。 漏洞可能是应用程序软件和操作系统的设计缺陷或编码错误,或者是业务设计缺陷或逻辑流程中的不合理问题。 这些缺陷、错误或不合理之处可能被有意利用,并可能不利地影响组织的资产和运营。 例如,信息系统可能被攻击或控制,重要资料可能被盗,用户数据可能被篡改,或者系统可能被阻止进入另一个主机系统。 从目前发现的漏洞来看,应用软件的漏洞远多于操作系统的漏洞,尤其是Web应用系统的漏洞占了信息系统的大部分漏洞。
二、Web脆弱性分类
1、SQL注入
SQL注入的目的是将SQL命令插入Web表单中,并传递或输入域名或页面请求的查询字符串,从而最终防止服务器执行恶意SQL命令。
2、XSS (跨站点脚本攻击)
跨站脚本攻击(简称为XSS )将跨站脚本攻击简称为XSS,以免与级联样式表中的CSS混淆。 XSS是Web应用程序中常用的计算机安全漏洞,允许恶意Web用户将代码嵌入其他用户可用的页面,如HTML代码和客户端脚本。 攻击者利用XSS的脆弱性进行非法访问控制。 例如,相同政策( Same Origin Policy )。 众所周知,这种漏洞是黑客用来制造更具危害性的钓鱼攻击。 对于跨站点脚本攻击,黑客界的共识是跨站点脚本攻击是一种新的“缓冲区溢出攻击”,JavaScript是一种新的“ShellCode”。
3 .文件上传
文件上载漏洞是指上载用户可执行的脚本文件,并使用该脚本文件获得执行服务器端命令的能力。 这种攻击方式最直接有效,有时几乎没有技术阈值。
“文件上传”本身没有问题,问题是在文件上传后服务器如何处理和解释文件。 如果服务器处理逻辑不够安全,则会引起严重的不安。
4 .文件下载
您可以下载网站上的所有信息数据,包括源代码和网站配置文件等信息。
5、产品目录遍历
如果Web设计者设计的Web内容没有适当的访问控制,并且允许HTTP遍历,则攻击者可以访问受限目录并在Web根目录之外运行命令。
