快乐小馄子

摘要： ###任意文件下载漏洞 很多网站有文件下载功能，即客户端发送下载请求给服务端，这个请求里面包括了需要下载的内容。如果服务端没有对客户端请求的内容（如下载类型等）做限制，攻击者可以通过修改请求内容来下载获得服务端任意文件。 通过修改文件类型等操作，可以得到服务器端配置文件，数据库信息，甚至是站点源码等 阅读全文

摘要： 逻辑漏洞是由于程序员开发时只是单纯的考虑了常规情况，并没有考虑完全，造成了错误的程序逻辑，出现了一些在特殊的异常情况下的错误漏洞，。攻击者攻击业务逻辑层的漏洞，从中获利。 阅读全文

摘要： 本来该普通用户只能对自己的信息进行操作，但是有由于开发人员的疏忽，没有在后台判断用户，而导致该普通用户能会其他用户的信息进行操作。 阅读全文

摘要： 文件包含：程序开发员会将经常用的函数写在单个文件中，之后用到时就可以直接调用该文件，提高代码重用性。但正是由于这种可调用，从而导致客户端可以调用一个恶意文件，造成文件包含漏洞。 阅读全文

摘要： 攻击者在上传文件功能区上传了一个脚本代码文件。通过代码获得了执行服务器段命令能力，得到webshell。 阅读全文

摘要： xss攻击（Cross Site Scripting）全称跨站脚本攻击。通过嵌入恶意脚本代码到正常的用户能访问到的网页。当用户正常访问该页面时，执行恶意代码。是非常普遍的一种web漏洞。xss攻击可窃取cookie信息，监听用户行为，威胁web服务器安全，危害极大。 阅读全文

摘要： SQl注入是在web应用程序对用户输入的数据的合法性没有判断或过滤不严，而使得攻击者可以在web中事先定义好的查询语句的结尾上添加额外的SQL语句，实现非法操作，以此来实现执行数据库的任意查询，得到数据库数据信息。 阅读全文