【漏洞原理篇】面试·HVV专题
- 1.SQL注入
- 2.文件上传
- 3.文件包含
- 4.XSS
- 5.CSRF
- 6.SSRF
- 7.XXE
- 8.逻辑漏洞
- 9.命令执行
- 10.反序列化
1.SQL注入
原理:
网站数据过滤不严格,过分信赖用户输入的数据, 没有过滤用户输入的恶意数据,无条件的把用户输入的数据当作SQL语句执行,因此导致sql注入漏洞产生
危害:
- 数据库信息泄漏︰数据库中存放的用户的隐私信息的泄露。
- 网页篡改:通过操作数据库对特定网页进行篡改。
- 网站被挂马,传播恶意软件︰修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。
- 数据库被恶意操作︰数据库服务器被攻击,数据库的系统管理员帐户被窜改。
- 服务器被远程控制︰被安装后门。经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。
- 破坏硬盘数据,瘫痪全系统。
SQL预编译原理:
