摘要：1.概述 SSRF(Server-Side Request Forgery：服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。SSRF攻击的主要目标是从外网无法访问的内部系统。 SSRF形成的原因：服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。如通过 阅读全文

摘要：1. 概述 SQL注入（SQL Injectioin）漏洞是注入漏洞中危害性最高的漏洞之一。形成的原因主要是在数据交互过程中，前端的数据传入后端时，没有作严格的验证过滤导致传入的“数据”拼接到了SQL语句中。被数据库当作SQL语句的一部分执行，从而使得数据面临被脱库、恶意破坏篡改甚至造成整个系统权限 阅读全文

摘要：一、文件上传漏洞 1.1 概述 文件上传漏洞指的是开发人员未对上传的文件类型进行严格的验证过滤，导致攻击者通过上传点上传恶意的可执行动态脚本，并通过此脚本文件获取执行服务器端命令的能力。 Web应用程序通常都会有文件上传功能，如上传头像和背景图片、上传PDF、Word等办公文件。攻击者通过上传恶意文 阅读全文

摘要：1.概述 逻辑错误漏洞是指由于程序逻辑不严谨或逻辑过于复杂，导致的一些逻辑分支不能够正常处理或处理错误。逻辑错误漏洞一般出现在功能（业务流程）上且较为隐蔽，通过自动化扫描器很难识别出来。 逻辑错误漏洞一般出现的功能模块有：信息查询、密码修改与找回、个人资料修改、商品支付、新增用户等等。以下对常见的逻 阅读全文