Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Update introduction.md #855

Open
wants to merge 1 commit into
base: master
Choose a base branch
from
Open
Changes from all commits
Commits
File filter

Filter by extension

Filter by extension

Conversations
Failed to load comments.
Jump to
Jump to file
Failed to load files.
Diff view
Diff view
10 changes: 10 additions & 0 deletions docs/zh/docs/web/introduction.md
Original file line number Diff line number Diff line change
Expand Up @@ -17,6 +17,16 @@ WEB 类的题目包括但不限于:SQL 注入、XSS 跨站脚本、CSRF 跨站

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码,当用户浏览该页之时,嵌入其中 Web 里面的 HTML 代码会被执行,从而达到恶意攻击用户的特殊目的。

## IDOR 不安全的直接对象引用

不安全的直接对象引用 (Insecure Direct Object References, IDOR) 是一种常见的 Web 应用程序漏洞,其允许攻击者访问应该被限制的资源或信息。下面是一些 IDOR 漏洞的例子:

一个在线商店的 URL 包含了商品的编号,攻击者可以通过操纵这个编号来访问限制访问的商品。

一个网站的 URL 包含了用户的用户名,攻击者可以通过操纵这个用户名来访问其他用户的信息。

一个应用程序的 URL 包含了文件的编号,攻击者可以通过操纵这个
Copy link
Member

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

好像漏掉了点信息?


## 命令执行

当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如 PHP 中的 `system`、`exec`、`shell_exec` 等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。这里还是主要以 PHP 为主介绍命令执行漏洞,Java 等应用的细节待补充。
Expand Down