本文介绍常见的Web服务端安全漏洞。
SQL注入攻击
SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。由于在设计程序时,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,进而使数据库受到攻击,可能导致数据被窃取、更改、删除,甚至执行系统命令等,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。
常见发生位置
- URL参数提交,主要为GET请求参数。
- 表单提交,主要是POST请求、也包括GET请求。
- Cookie参数提交。
- HTTP请求头部的一些可修改的值,比如Referer、User_Agent等。
- 一些边缘的输入点,比如mp3文件、图片文件的一些文件信息等。