命令注入漏洞

目标是通过易受攻击的应用程序在主机操作系统上执行任意命令

SQL注入漏洞

发生在应用程序与数据库层的安全漏洞

危害及预防

• 危害：漏洞能让黑客无限制的使用SQL，造成数据泄露，甚至是远程名利操作

• 预防：使用参数化查询避免数据被混在指令

XSS漏洞

跨站脚本漏洞，是一种网站应用程序的安全漏洞攻击

主要通过利用网页开发时留下的漏洞，使用巧妙的方法注入恶意制定代码，导致用户加载并执行攻击者恶意制造的网页程序

危害及预防

• 危害：危害网站上的用户，导致其被动执行非预期网页脚本

• 预防：输入输出过滤、利用浏览器安全机制等

• 检测：可自动化发现

CSRF漏洞

跨站请求伪造

是攻击者通过技术手段，欺骗用户使用浏览器访问一个自己曾经认证过的网站并运行一些操作

危害及预防

• 危害：导致用户执行非本意的网站

• 预防：增加 token 校验，检查 referer

查看更多精彩内容，还请关注橘猫学安全：

每日坚持学习与分享，觉得文章对你有帮助可在底部给点个“再看”