摘要:
Dynamic Code Evaluation: Code Injection Abstract 在运行时中解析用户控制的指令,会让攻击者有机会执行恶意代码。 Explanation 许多现代编程语言都允许动态解析源代码指令。 这使得程序员可以执行基于用户输入的动态指令。 当程序员错误地认为由用户直 阅读全文
摘要:
Cross Site Scripting: Persistent Abstract 向 Web 浏览器发送非法数据会导致浏览器执行恶意代码。 Explanation Cross Site Scripting (XSS) 漏洞在以下情况下发生: 1. 数据通过一个不可信赖的数据源进入 Web 应用程序 阅读全文
摘要:
Abstract 所创建的 cookie 的 secure 标记没有设置为 true。 Explanation 现今的 Web 浏览器支持每个 cookie 的 secure 标记。 如果设置了该标记,那么浏览器只会通过 HTTPS 发送 cookie。 通过未加密的通道发送 cookie 将使其受 阅读全文
摘要:
Abstract 如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授权的记录。 Explanation Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据 阅读全文