SQL:
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,
最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令
注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全
漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比如先前的很多影视网站泄露VIP会员密码大多就是
通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
介绍转自百度百科:https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5/150289?fr=aladdin
就比如,原本通过链接查询我的账号,然后却通过sql命令却查到了管理员账号
这种漏洞常用于提权(shell)
当然这种漏洞前些年特别流行,而现在却不尽人意,很多站点都挖不出来
XSS:
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻
击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户
将代码植入到提供给其它用户使用的页面中。
介绍转自百度百科:https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5/150289?fr=aladdin
简单理解的话,就是通过过滤掉原本该执行的然后通过java代码实现脚本自动运行.
这种呢也是,危害也是大的,早些年被认为只能用于alert(“xss”)这样的测试
直到后期网络安全相关方面人员才认识到危害
这种呢现在也比较少了
CSRF:
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CS
RF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内
的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流
行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
介绍转自百度百科:https://baike.baidu.com/item/CSRF
简单来说就是单用户点击链接时会执行链接的操作,一般是因为没有验证来者(Referer)造成的
就比如A用户买了个商品,支付啦100元
B用户点击了A用户的链接以后就会去执行A用户执行的操作
这种漏洞存在的危害性也比较大,并且这种漏洞现在存在的也较多
文件上传漏洞: