会话劫持和会话固定漏洞 会话劫持和会话固定漏洞 会话劫持和会话固定漏洞 # 会话劫持 会话劫持(Session hijacking),是一种通过获取用户 Session ID 后,使用该 Session ID 登录目标账号的攻击方法。 受害者登录站点,服务器返回一个会话标识(Session ID) 黑客捕获 2026-05-18 Web安全 0 Rank
命令执行漏洞 命令执行漏洞 命令执行漏洞 代码执行和命令执行区别 代码执行:可执行脚本语言代码 命令执行:可执行系统命令(Linux、Windows) # PHP代码执行 eval() //把字符串作为PHP代码执 assert() //检查一个断言是否为 FALSE,可用来执行代码 preg_replace() //执行一 2026-05-18 Web安全 0 Rank
文件包含漏洞 文件包含漏洞 文件包含漏洞 # 本地文件包含(LFI) 漏洞成因 文件包含漏洞的产生原因是 PHP 语言在通过引入文件时,引用的文件名,用户可控 传入的文件名校验不严,能操作预想之外的文件,可能导致意外的文件泄露甚至恶意的代码注入 当被包含的文 2026-05-18 Web安全 1 Rank
文件上传漏洞 文件上传漏洞 文件上传漏洞 # 漏洞概述 任意文件上传漏洞是因为对上传的文件校验不严导致攻击者上传可执行脚本接管服务器。 校验方法主要分客户端校验(前端)和服务端校验。 修复方案 1)在将文件保存在本地前就进行相应的安全检查 2)使用白名单限制文件扩展名 3)对上传后的文件 2026-05-18 Web安全 6 Rank