0755-26607517(免费)

常见漏洞类型

SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

XSS(跨站脚本)

恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的

文件上传漏洞

网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等

CSRF(跨站请求伪造)

是一种对网站的恶意利用,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行和难以防范,所以被认为比XSS更具危险性

命令执行漏洞

用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码

敏感信息泄露

指系统内部不为人知的机密信息被恶意泄露,如:客户信息、网站的绝对路径、网页源代码、SQL语句、中间件版本、程序异常等信息等

漏洞危害

网站访问很慢,等待时间过长,程序无法运行,数据显示不正确

客户电话、身份证、银行账号等被泄露,客户网上支付后,无法完成后续的交易

恶意篡改网页内容,登录后台后发布一些非法信息,也可以对系统进行添加账户或者是数据库账号

账户失窃;数据信息被读取、篡改、添加或者删除;非法转账;强制发送电子邮件;受控向其他网站发起攻击等

修复方式

防火墙修复(伪修复)

配置应用程序防火墙(WAF),相当于在外面加一个外壳,防止攻击者通过漏洞进行攻击,这种方式修复快,但会被技术高超的攻击者绕过,因为不是根本修复,所以后续还会有被攻击的危险

修改代码(根本修复)

这种方式是通过修改代码修复,也是从根本上修复漏洞,修复以后,在不改变代码的情况下,修复的漏洞不会再出现,这种修复方式安全系数高,修复后更稳定

行业证书
Copyright ©2015-2020 Shenzhen WangAnxin Technology Co. LTD. All rights reserved.
网站备案/许可证号:粤ICP备15107601号-1
渗透测试,网站漏洞检测公司,网站漏洞修复,网络安全服务,网站安全,服务器安全
hydrous-offprice