TOP10漏洞原理

##

本人为学习网安不久的新人，记一次学习笔记，有缺陷或者表述不对的地方欢迎大家指出，感谢！

##

1、sql注入：web应用程序对用户输入的数据没有进行过滤，或者过滤不严，就把sql语句拼接进数据库中执行，造成sql注入危害

2、xss：前端页面代码过滤不严格，导致可以插入的恶意js代码并执行

3、xxe：程序在解析XML文档输入时，没有禁止外部实体的加载，导致可引用恶意外部实体

4、文件上传：上传文件时过滤不严格导致可以上传恶意文件到服务器

5、文件包含：文件包含的参数没有经过过滤或者严格的定义，并且参数可以被用户控制，如果文件中存在恶意代码，无论文件是什么样的后缀类型，文件内的恶意代码都会被解析执行

6、远程命令执行：对用户可控参数过滤不严格，导致可以带入命令并执行

7、csrf：攻击者会让用户在不知情的情况下执行恶意请求，来执行未经用户授权的操作。

8、ssrf：攻击者利用目标服务器对外发起请求的功能，将服务器作为代理来访问其他网络资源，包括内部网络或外部网络中的敏感信息。

9、反序列化漏洞：反序列化一般情况下并不会造成危害，当反序列化的内容可控时，通过服务器接收点进行传输，当将恶意的序列化数据反序列化会将任何内容解析

10、逻辑漏洞：因为后期测试不完全，或者程序员设计缺陷导致逻辑漏洞

 希望可以帮助到大家哟！！！