详细描述 | “链接注入”是修改站点内容的行为,其方式为将外部站点的 URL 嵌入其中,或将有易受攻击的站点中的脚本 的 URL 嵌入其中。将 URL 嵌入易受攻击的站点中,攻击者便能够以它为平台来启动对其他站点的攻击,以及攻击这个易受攻击的站点本身。 在这些可能的攻击中,有些需要用户在攻击期间登录站点。攻击者从这一易受攻击的站点本身启动这些攻击,成功的机会比较大,因为用户登录的可能性更大。 “链接注入”漏洞是用户输入清理不充分的结果,清理结果会在稍后的站点响应中返回给用户。攻击者能够将危险字符注入响应中,便能够嵌入 URL 及其他可能的内容修改。 |
解决办法 | 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [4] $(美元符号) [5] %(百分比符号) [6] @(at 符号) [7] '(单引号) [8] "(引号) [9] \'(反斜杠转义单引号) [10] \"(反斜杠转义引号) [11] <>(尖括号) [12] ()(括号) [13] +(加号) [14] CR(回车符,ASCII 0x0d) [15] LF(换行,ASCII 0x0a) [16] ,(逗号) [17] \(反斜杠) |
- 浏览: 1528940 次
- 性别:
- 来自: 厦门
文章分类
- 全部博客 (516)
- Java (49)
- Java/Struts 2.0 (25)
- Java/Spring、Spring MVC (11)
- Java/Quartz (3)
- Java/Lucene (6)
- Java/Hibernate (19)
- Java/openJPA (7)
- Java/DWR (7)
- Java/Security、Spring Security/OAuth2 (6)
- Java/Threading (9)
- Java/XML (22)
- java/design pattern (4)
- Android (2)
- JavaScript (46)
- jquery (3)
- DB/MySQL (23)
- DB/Oracle (16)
- PHP (25)
- CSS (20)
- Linux (38)
- C/C++、DLL、Makefile、VC++ (31)
- 正则 (9)
- Eclipse (4)
- 安全、网络等概念 (25)
- 集群 (7)
- 网页 (5)
- 视频\音频 (1)
- HTML (6)
- 计算机数学/算法 (3)
- Virtualbox (1)
- LDAP (2)
- 数据挖掘 (6)
- 工具破解 (1)
- 其他 (13)
- Mail (1)
- 药材 (3)
- 游戏 (2)
- hadoop (13)
- 压力测试 (3)
- 设计模式 (3)
- java/Swing (2)
- 缓存/Memcache (0)
- 缓存/Redis (1)
- OSGI (2)
- OSGI/Gemini (0)
- 文档写作 (0)
- java/Servlet (3)
- MQ/RabbitMQ (2)
- MQ/RocketMQ (0)
- MQ/Kafka (1)
- maven (0)
- SYS/linux (1)
- cache/redis (1)
- DB/Mongodb (2)
- nginx (1)
- postman (1)
- 操作系统/ubuntu (1)
- golang (1)
- dubbo (1)
- 技术管理岗位 (0)
- mybatis-plus (0)
最新评论
-
pgx89112:
大神,请赐我一份这个示例的项目代码吧,万分感谢,1530259 ...
spring的rabbitmq配置 -
string2020:
不使用增强器 怎么弄?
OpenJPA的增强器 -
孟江波:
学习了,楼主,能否提供一份源代码啊,学习一下,十分感谢!!!4 ...
spring的rabbitmq配置 -
eachgray:
...
spring-data-redis配置事务 -
qljoeli:
学习了,楼主,能否提供一份源代码啊,学习一下,十分感谢!!!1 ...
spring的rabbitmq配置
发表评论
-
客户端用https连接服务器的一点心得
2016-05-11 17:13 540转自:http://dannyyuan.blog.51ct ... -
解决PKIX:unable to find valid certification path to requested target 的问题
2016-05-11 17:11 921转自:http://blog.csdn.net/ ... -
cookie的secure、httponly属性设置
2014-03-04 16:19 17205转载自:http://www.cnblogs ... -
框架注入漏洞
2014-02-27 16:21 73222 详细描述 攻击者有可能注入含有恶 ... -
XSS跨站脚本攻击在Java开发中防范的方法
2014-02-27 16:14 4217详细描述 跨站脚本攻击(也称为XSS)指利用网站漏洞从用 ... -
XSS跨站脚本攻击在Java开发中防范的方法
2014-02-27 09:48 7800转自:http://hi.baidu.com/hkr_tam ... -
HTTP 1.1状态代码及其含义
2011-10-20 10:16 1480下表显示了常见 ... -
使用X.509数字证书加密解密实务(三)-- 使用RSA证书结合对称加密技术加密长数据
2010-03-03 17:00 2269上一章节讨论了如何 ... -
使用X.509数字证书加密解密实务(二)-- 使用RSA证书加密敏感数据
2010-03-03 16:52 2831源自:http://www.cnblogs.com/chnk ... -
使用X.509数字证书加密解密实务(一)-- 证书的获得和管理
2010-03-03 16:40 3293源自:http://www.cnblogs.com/chnki ... -
X.509 数字证书结构和实例
2010-03-03 16:36 2973源自:http://www.cnblogs.com/chnki ... -
CA基本常识:X.509标准
2010-03-03 16:21 4685原文连接: http://www.cnblogs.com ... -
安全认证相关文档
2010-03-02 15:59 1085PKCS#11 中文手册 -
openssl使用手册
2009-08-04 10:28 7417OpenSSL有两种运行模式 ... -
JA-SIG(CAS)学习笔记1
2009-07-15 01:16 1360实验步骤: STEP 1,搭 ... -
公钥系统_数字签名_数字证书工作原理入门 (转)
2009-02-24 07:27 2147公钥系统 / 数字签名 / 数字证书工作原理入 ... -
详解公钥、私钥、数字证书的概念
2009-02-05 15:59 3439http://pepa.iteye.com/blog/2509 ... -
CA系统、证书常识
2009-02-05 15:58 14941.什么是CA CA是Certi ... -
密钥库文件格式(Keystore)和证书文件格式(Certificate)
2009-02-05 15:56 3246密钥库文件格式【Keystore】 格式 : ... -
java 项目的安全学习地址
2009-02-01 16:07 1499java 项目的安全学习地址: http://www.ja-s ...
相关推荐
### JAVA项目实践:URL存在的跨站漏洞与注入漏洞解决方案 #### 一、跨网站脚本(XSS)概述 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本攻击)是一种常见的安全漏洞攻击方式,尤其针对网站应用程序。...
"SQL注入漏洞全接触"知识点总结 一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及...
### 彻底解决ASP注入漏洞:使用PrepareStatement方法 #### 一、背景介绍 在Web开发领域,SQL注入攻击是一种常见的安全威胁,它利用应用程序对用户输入数据处理不当的漏洞,将恶意SQL命令插入到查询语句中执行,从而...
### 自己动手编写SQL注入漏洞扫描器 #### 功能需求分析与实现思路 **功能需求:** 1. **支持单个/批量网站扫描** - 单个网站扫描功能是基本要求,它允许用户对特定目标进行深入检测。 - 批量网站扫描功能对于...
本篇将探讨如何自己动手编写一个SQL注入漏洞扫描工具,通过分析提供的程序代码,我们可以了解基本的检测原理和技术。 首先,我们需要理解SQL注入的基本概念。当用户提交的数据被直接拼接到SQL查询中,而没有进行...
74CMS 3.0 SQL 注入漏洞后台 本节将对 74CMS 3.0 SQL 注入漏洞后台进行详细分析,首先介绍了攻击环境的搭建,然后对代码进行了详细的审计,最后对漏洞进行了分析。 一、搭建攻击环境 为了进行攻击,我们需要搭建...
### SQL注入漏洞详解及其修复方案 #### 一、SQL注入漏洞概述 SQL注入是一种常见的Web安全漏洞,攻击者可以通过在应用程序的输入字段中插入恶意SQL语句,来操控后端数据库执行非授权操作。这种攻击可能导致敏感数据...
SQL注入是一种常见的网络安全漏洞,主要出现在B/S模式的应用程序中,由于程序员在编写代码时未能对用户输入数据进行有效验证,使得攻击者可以通过输入特定的SQL代码,绕过正常的安全控制,获取或修改数据库中的敏感...
SQL注入漏洞是网络安全领域中的一个重要话题,它涉及到数据库管理和Web应用程序的安全性。在这个"SQL注入漏洞演示源代码"中,我们可以深入理解这种攻击方式的工作原理以及如何预防它。 SQL注入是一种利用恶意SQL...
在当前的网络安全领域,SQL注入漏洞已经成为黑客攻击数据库的一种主要手段。SQL注入(SQL Injection)是一种常见的网络攻击技术,它通过将恶意SQL命令插入到Web表单的输入或页面请求的查询字符串中,欺骗服务器执行...
总结以上内容,SQL注入漏洞的分析与防范需要网站开发者从多个层面出发,包括但不限于代码安全的编写、系统防护措施的实施以及对相关人员的安全培训。通过这些综合性的措施,可以大幅提高网站的安全性,防止因SQL注入...
### 在有注入漏洞的SQL服务器上运行CMD命令 #### 概述 本文主要介绍如何在存在SQL注入漏洞的环境中利用特定技术执行操作系统级别的命令。这种技术通常被安全研究人员用于渗透测试场景,帮助评估网络环境的安全性。...
JavaScript注入漏洞是网络安全领域的一个重要话题,它主要发生在web应用程序中,允许恶意用户通过注入JavaScript代码来篡改页面的行为或窃取用户数据。当系统未能正确处理用户输入,并将其作为可执行的JavaScript...
在网络安全领域,"链接漏洞"是一个重要的概念,它通常指的是由于应用程序处理URL链接时存在的安全缺陷,可能导致攻击者利用这些漏洞进行恶意操作,如注入代码、执行非法命令或者获取敏感信息。 "链接漏洞检测"是...
【SQL注入漏洞与SQLmap工具】 SQL注入是一种常见的网络安全漏洞,攻击者通过在Web表单中插入恶意SQL语句,欺骗服务器执行非预期的数据库操作。这种漏洞可能导致数据泄露、非法权限获取,甚至整个数据库系统的瘫痪。...
然而,在其 V1.4.7 版本中发现了一处后台友情链接管理功能存在的 SQL 注入漏洞。该漏洞存在于 `WWW\protected\apps\admin\controller\linkController.php` 文件中的 `del` 方法。 #### 漏洞原理分析 1. **GET 请求...