网安学习xss和php反序列后的心得

网安学习xss和php反序列后的心得

xss和Php反序列化的相同和不同点

相同:

  • 两者都依赖用户输入和用户控制的数据触发攻击
  • 用户输入的东西可能因为开发者没有过滤彻底被恶意执行 如插入jsp语句 html代码,php反序列之后使得代码嵌入服务器端之后接下来的用户再次使用就会触发攻击

不同:

  • xss攻击者在表单 url 评论等输入框中注入恶意代码 提交到客户端之后可以让其他用户访问时执行恶意代码,窃取用户的cookie等
  • php反序列化攻击者将恶意数据提交给服务器 (url post 请求 cookie)之后浏览器反序列化时候执行这些被序列化的代码 导致触发魔术方法,进而导致恶意操作(文件包含,远程代码执行)

为什么web安全中很多漏洞都存在用户将攻击通过输入框注入造成漏洞但是就是很难防护

  1. 根本原因:没有对用户输入的内容进行过滤 转义 验证 从而导致sql xss等攻击
  2. 从视觉上看 屏蔽用户输入等就可以防止被攻击 但是这样会使得用户与web应用的联系 交互 变少,使得用户的体验感降低 ,不可以发表自己的使用感觉或者意见,与其他为用户沟通等

原理:评论区通常允许用户输入文本内容,且该内容会被显示在页面上 使得其他用户也可以看到 这就需要嵌入底层代码 因此会造成漏洞

表单 中大多数提交用户的登录信息 评论提交 搜索等 数据会交给服务器进行处理,表单提交的数据可能会被用来查询数据库(例如登录时检查用户名和密码,搜索时查询相关信息)。如果开发者没有正确处理用户输入,恶意用户可以通过 SQL 注入 技巧,操控查询语句,从而访问、修改或删除数据库中的敏感数据。

相关推荐
游戏开发爱好者824 分钟前
iOS重构期调试实战:架构升级中的性能与数据保障策略
websocket·网络协议·tcp/ip·http·网络安全·https·udp
天水幼麟1 小时前
动手学深度学习-学习笔记(总)
笔记·深度学习·学习
安全系统学习3 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
天水幼麟3 小时前
动手学深度学习-学习笔记【二】(基础知识)
笔记·深度学习·学习
沧海一笑-dj4 小时前
【51单片机】51单片机学习笔记-课程简介
笔记·学习·51单片机·江科大·江科大学习笔记·江科大单片机·江科大51单片机
老虎06274 小时前
JavaWeb(苍穹外卖)--学习笔记04(前端:HTML,CSS,JavaScript)
前端·javascript·css·笔记·学习·html
双力臂4044 小时前
MyBatis动态SQL进阶:复杂查询与性能优化实战
java·sql·性能优化·mybatis
大苏打seven5 小时前
Docker学习笔记:Docker网络
笔记·学习·docker
A__tao6 小时前
一键将 SQL 转为 Java 实体类,全面支持 MySQL / PostgreSQL / Oracle!
java·sql·mysql
江苏思维驱动智能研究院有限公司6 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全