【運(yùn)維安全】-web命令執(zhí)行/XSS-05

一、web命令執(zhí)行
什么是命令執(zhí)行：
命令執(zhí)行漏洞是指gongji者可以隨意執(zhí)行系統(tǒng)命令。屬于高危漏洞之一任何腳本語言都可以調(diào)用操作系統(tǒng)命令。
應(yīng)用有時(shí)需要調(diào)用一些執(zhí)行系統(tǒng)命令的函數(shù)，如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等，當(dāng)用戶能控制這些函數(shù)中的參數(shù)時(shí)，就可以將惡意系統(tǒng)命令
拼接到正常命令中，從而造成命令執(zhí)行攻 ji，這就是命令執(zhí)行漏洞。
如： ping + $變量target
target傳遞進(jìn)去的值是 127.0.0.1 && uname -r

創(chuàng)新互聯(lián)建站是一家專注于做網(wǎng)站、網(wǎng)站建設(shè)與策劃設(shè)計(jì),潼南網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)十載,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:潼南等地區(qū)。潼南做網(wǎng)站價(jià)格咨詢:18980820575

如何預(yù)防：
    1. 如 php中禁用一些exec等命令執(zhí)行的函數(shù)
    2. php程序運(yùn)行在非root用戶
    3. 其他waf防火墻 

二、web文件執(zhí)行
Web應(yīng)用程序通常會(huì)有文件上傳功能，發(fā)布圖片、招聘網(wǎng)站上發(fā)布doc格式簡歷，只要web應(yīng)用程序允許上傳就有可能存在文件上傳漏洞

客戶端驗(yàn)證可以繞過通過 抓包修改 文件名后綴或者mime類型，再重發(fā)

三、XSS漏洞
什么是XSS
XSS有什么危害
XSS的三種類型

XSS：
XSS又叫CSS(Cross Site Scripting),跨站腳本gongj，i常見的Web漏洞之一，在2013年度OWASP TOP 10中排名第三。

XSS是指***者在網(wǎng)頁中嵌入客戶端腳本，通常是JS惡意代碼，當(dāng)用戶使用瀏覽器訪問被嵌入惡意代碼網(wǎng)頁時(shí)，就會(huì)在用戶瀏覽器上執(zhí)行。

危害：
網(wǎng)絡(luò)釣魚、竊取用戶Cookies、彈廣告刷流量、具備改頁面信息、刪除文章、獲取客戶端信息、傳播蠕蟲

XSS的三種類型：
反射型
存儲型
DOM型

文章題目：【運(yùn)維安全】-web命令執(zhí)行/XSS-05
URL網(wǎng)址：http://muchs.cn/article48/jpdeep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、靜態(tài)網(wǎng)站、手機(jī)網(wǎng)站建設(shè)、網(wǎng)站維護(hù)、品牌網(wǎng)站建設(shè)、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)