Web漏洞小结

本文是对Web中最常见漏洞的一个小结：

注入类漏洞：

• SQL注入：SQL注入漏洞详解
• XML注入：XXE(XML外部实体注入)
• 代码注入：代码注入漏洞
• CRLF注入：CRLF注入

注入类漏洞是应用违背了“数据与代码分离原则”导致的结果。它有两个条件：一是用户能够控制数据的输入，二是代码拼凑了用户输入的数据，把数据当成代码执行了。在对抗注入攻击时，只需要牢记“数据与代码分离原则”，在拼凑的地方进行安全检查。

文件类漏洞：

• 文件上传：