从品牌网站建设到网络营销策划,从策略到执行的一站式服务
一、web命令执行
什么是命令执行:
命令执行漏洞是指gongji者可以随意执行系统命令。属于高危漏洞之一任何脚本语言都可以调用操作系统命令。
应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命令
拼接到正常命令中,从而造成命令执行攻 ji,这就是命令执行漏洞。
如: ping + $变量target
target传递进去的值是 127.0.0.1 && uname -r
创新互联建站是一家专注于做网站、网站建设与策划设计,潼南网站建设哪家好?创新互联建站做网站,专注于网站建设十载,网设计领域的专业建站公司;建站业务涵盖:潼南等地区。潼南做网站价格咨询:18980820575
如何预防:
1. 如 php中禁用一些exec等命令执行的函数
2. php程序运行在非root用户
3. 其他waf防火墙
二、web文件执行
Web应用程序通常会有文件上传功能,发布图片、招聘网站上发布doc格式简历,只要web应用程序允许上传就有可能存在文件上传漏洞
客户端验证可以绕过通过 抓包修改 文件名后缀或者mime类型,再重发
三、XSS漏洞
什么是XSS
XSS有什么危害
XSS的三种类型
XSS:
XSS又叫CSS(Cross Site Scripting),跨站脚本gongj,i常见的Web漏洞之一,在2013年度OWASP TOP 10中排名第三。
XSS是指***者在网页中嵌入客户端脚本,通常是JS恶意代码,当用户使用浏览器访问被嵌入恶意代码网页时,就会在用户浏览器上执行。
危害:
网络钓鱼、窃取用户Cookies、弹广告刷流量、具备改页面信息、删除文章、获取客户端信息、传播蠕虫
XSS的三种类型:
反射型
存储型
DOM型
成都网站建设公司地址:成都市青羊区太升南路288号锦天国际A座10层 建设咨询028-86922220
成都快上网科技有限公司-四川网站建设设计公司 | 蜀ICP备19037934号 Copyright 2020,ALL Rights Reserved cdkjz.cn | 成都网站建设 | © Copyright 2020版权所有.
专家团队为您提供成都网站建设,成都网站设计,成都品牌网站设计,成都营销型网站制作等服务,成都建网站就找快上网! | 成都网站建设哪家好? | 网站建设地图