老男孩教育专注IT教育10余年,只培养IT技术精英
全国免费咨询电话(渠道合作):400-609-2893
【网络安全 | 干货分享】常见的高危漏洞有哪些?
老男孩IT教育
常见问题
2021年11月8日 18:15
众所周知,学习完网络安全之后可从事的岗位有很多,最常见的就业岗位就是渗透测试工程师了,他的主要工作目的就是通过模拟不法分子的攻击方式,来检测网站、移动应用所存在的漏洞,那常见的高危漏洞有哪些呢?请看下文:
众所周知,学习完网络安全之后可从事的岗位有很多,最常见的就业岗位就是渗透测试工程师了,他的主要工作目的就是通过模拟不法分子的攻击方式,来检测网站、移动应用所存在的漏洞,那常见的高危漏洞有哪些呢?请看下文:
一、SQL注入
Web程序中对于用户提交的参数未过滤就直接放到SQL语句中执行,导致参数中的特殊字符打破了SQL语句的原有逻辑,不法分子可以利用该漏洞执行任意SQL语句。
二、跨站脚本攻击(XSS)
Web程序中把用户提交的参数未做过滤就直接输出到页面中,参数中的特殊字符打破了HTML页面的原有逻辑,不法分子可以利用该漏洞执行恶意HTML/JS代码、构造蠕虫传播、篡改页面实施钓鱼攻击等。XSS主要分为以下几类:
2.1 Reflected XSS(Non-persist XSS):跨站代码存在于链接中,请求该链接时,跨站代码经过服务器反射回来,不会在服务器端进行存储;
2.2 Stored XSS(Persist XSS):危害更大,存储在服务端,比如数据库中;
2.3 DOM based XSS:一种基于DOM的跨站,这是客户端脚本自身解析不正确导致的安全问题。
三、跨站请求伪造(CSRF)
是伪造客户端请求的一种攻击,字面上的意思是跨站点伪造请求,定义是强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的目的。
文件上传的常见问题:1、允许上传可执行文件;2、客户端JS脚本验证上传文件类型;3、使用黑名单限制上传文件类型;4、文件名、目录名可自定义;5、文件名中特殊字符处理不当。
关于"常见的高危漏洞有哪些?"的话题到这里就结束了,老男孩教育是一家拥有10余年教学经验的老品牌培训机构,开设了Python培训、Linux运维、网络安全、GO语言等互联网课程,欢迎每个想要学习的朋友来公司现场考察。
推荐阅读:
本文经授权发布,不代表老男孩教育立场。如若转载请联系原作者。
扫码加入Go语言学院讨论学习群
最新文章
