因输出值转义不完全引发的安全漏洞
- 跨站脚本攻击(Cross-Site Scripting ,XSS)
是指通过存在安全漏洞的web网站注册用户的浏览器内运行非法的HTML标签或javascript脚本的一种攻击。
造成的影响: 1.利用虚假输入表单骗取用户个人信息; 2.利用脚本窃取用户的cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求。 3.显示伪造的图片或文章。
- SQL注入攻击
是指针对Web应用使用的数据库,通过运行非法的SQL而产生的攻击。 (eg: '-- 这个符号在SQL语句中代表注释,也就是说不用访问后面的内容。)
该安全隐患有可能引发极大的威胁,有时会直接导致个人信息及机密信息的泄露
- OS命令注入攻击
是指通过web应用,执行非法的操作系统命令达到攻击的目的。 只要是在能调用shell函数的地方就有存在被攻击的风险。
也就是说,通过OS注入攻击可执行OS上安装着的各种程序。
- HTTP首部注入攻击
是指攻击者通过响应首部字段内插入换行,添加任意响应首部或主体的一种攻击。属于被动攻击模式
影响: 设置任何cookie信息; 重定向至任意URL; 显示任意的主体(HTTP响应截断攻击)
- DoS攻击
Dos攻击是一种让运行中的服务器呈停止状态的攻击。有时也叫做服务器停止攻击或拒绝服务攻击。
主要由两种DoS攻击方式:
- 集中利用访问请求造成资源过载,资源用尽的同时,实际上服务器也就呈停止状态。
- 通过攻击安全漏洞使服务器停止。
网友评论