首页 > 其他分享 >TOP10漏洞原理

TOP10漏洞原理

时间:2024-02-26 17:34:17浏览次数:29  
标签:文件 执行 TOP10 恶意 漏洞 过滤 原理 序列化

1、sql注入:web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把sql语句拼接进数据库中执行,造成sql注入危害

2、xss:前端页面代码过滤不严格,导致可以插入的恶意js代码并执行

3、xxe:程序在解析XML文档输入时,没有禁止外部实体的加载,导致可引用恶意外部实体

4、文件上传:上传文件时过滤不严格导致可以上传恶意文件到服务器

5、文件包含:文件包含的参数没有经过过滤或者严格的定义,并且参数可以被用户控制,如果文件中存在恶意代码,无论文件是什么样的后缀类型,文件内的恶意代码都会被解析执行

6、远程命令执行:对用户可控参数过滤不严格,导致可以带入命令并执行

7、csrf:攻击者会让用户在不知情的情况下执行恶意请求,来执行未经用户授权的操作。

8、ssrf:攻击者利用目标服务器对外发起请求的功能,将服务器作为代理来访问其他网络资源,包括内部网络或外部网络中的敏感信息。

9、反序列化漏洞:反序列化一般情况下并不会造成危害,当反序列化的内容可控时,通过服务器接收点进行传输,当将恶意的序列化数据反序列化会将任何内容解析

10、逻辑漏洞:因为后期测试不完全,或者程序员设计缺陷导致逻辑漏洞

标签:文件,执行,TOP10,恶意,漏洞,过滤,原理,序列化
From: https://www.cnblogs.com/Sunflower0-o/p/18034811

相关文章

  • Ncast盈可视高清智能录播系统RCE漏洞(CVE-2024-0305)复现
    0x00漏洞简介Ncast盈可视高清智能录播系统是广东盈科电子公司的一款产品。该系统2017及之前版本/classes/common/busiFacade.php接口存在RCE漏洞。0x01资产测绘:zoomeye-query:title:"高清智能录播系统"fofa-query:app="Ncast-产品"&&title=="高清智能录播系统"0x02漏......
  • 容斥原理学习笔记
    前言可能需要一点二项式定理和二项式反演的相关知识。有许多不足还请指出。公式经典容斥\(A_1,A_2,\cdots,A_n\)均为有限集,\(A_i\subseteqS\),则\[\left\vert\bigcup\limits_{i=1}^nA_i\right\vert=\sum\limits_{k=1}^n(-1)^{k-1}\sum\limits_{1\lei_1<i_2<\cdots<i_k\le......
  • 浏览器渲染原理
    浏览器渲染原理浏览器渲染原理第一步:URL地址解析。第二步:缓存检查通过一个url网址,首先得到的是一个html。渲染过程中,遇到link标签向服务器发送拿到css代码,遇到script标签向服务器发送拿到js代码,遇到img标签向服务器发送拿到图片文件。如果浏览器上有......
  • mybatis-spring原理胡乱记一下
    1. 项目启动时会通过配置构建configuration,解析*mapper.xml文件,生成mappedstatement[mapperinterface+methodName]; 2. 通过MapperRegistry注mapper,通过MappereRroxyFactory生成MapperProxy[jdk动态代理],添加到mapperregistry中;3.当调用mapper接口时,通过调用生成......
  • Linux内核工作原理
    目录简介简介Linux内核是操作系统的核心组件,负责底层硬件管理和资源分配,为上层应用程序提供一个稳定、统一的运行环境。以下是Linux内核的一些主要工作原理和组成部分:系统调用接口(SCI):SCI层提供了从用户空间到内核的函数调用的机制。它允许应用程序与内核进行交互,执行一些需要......
  • 【教程】 iOS混淆加固原理篇
     摘要本文介绍了iOS应用程序混淆加固的缘由,编译过程以及常见的加固类型和逆向工具。详细讨论了字符串混淆、类名、方法名混淆、程序结构混淆加密等加固类型,并介绍了常见的逆向工具和代码虚拟化技术。 引言在iOS开发中,为了保护应用程序免受逆向工程和反编译的威胁,需要对应......
  • https原理分析
    https说明对称加密秘钥只有1个客户端和服务端都保存一个同样的秘钥非对称加密秘钥有2个1个是公钥1个是私钥公钥是由私钥生成出来的公私钥是一对公钥可以公开给客户端服务端保存私钥不能公开公钥加密后的密文只能用私钥解密私钥加密后的密......
  • 智能AI客服系统+企业专属AI知识库实现原理+配置教程
    企业专属AI知识库实现原理知识库是GPT用户咨询问题,调用文本转向量接口将问题转为向量数据,向量化搜索知识数据库,将相关知识文本整合后发送给GPT聊天补全接口 知识库服务主要基于以下两个接口:OpenAI聊天接口(/v1/chat/completions)OpenAI向量生成接口(/v1/embeddings......
  • 线程池的原理及实现
    线程池的原理及实现1、线程池简介:多线程技术主要解决处理器单元内多个线程执行的问题,它可以显著减少处理器单元的闲置时间,增加处理器单元的吞吐能力。假设一个服务器完成一项任务所需时间为:T1创建线程时间,T2在线程中执行任务的时间,T3销毁线程时间。如果:T1+T3远大于T2,则......
  • bitmap 位图 底层原理标记的字符串放在哪
    在Redis中,位图(bitmap)是通过字符串(string)类型来实现的,具体来说,位图是存储在Redis字符串中的二进制位数据。Redis字符串一般采用动态字符串实现,最大长度可以达到512MB。对于位图来说,每个二进制位代表一个状态或标记,可以表示非常多的状态信息,同时占用的存储空间很小。当使用......