系統命令注入、SQL 注入、WEBSHELL上傳、WEB整站系統漏洞、XSS攻擊，方法過濾這些攻擊具體指的是什麼呢？

---

系統命令注入：在特定業務場景下，可能會需要結合一些系統命令來完成功能實現。在這個前提下，用戶從前端（瀏覽器）提交的數據被帶入到執行的命令中，則可能存在該種漏洞。

SQL 注入：大部分網站業務場景下，都可能會用到 SQL 查詢進行資料庫操作，在這個前提下，用戶從前端（瀏覽器）提交的數據被帶入到執行的SQL語句中，且沒有做好完善的轉義或過濾，則可能存在該種漏洞。

WEBSHELL上傳：通常是 jsp、php、asp 等動態腳本網站，在實現上傳功能的過程中，由於對文件類型限制的不嚴謹導致被繞過，最終導致攻擊者把 webshell 上傳到目標站點。

XSS攻擊也就是跨站腳本，一般發生在瀏覽器層面，通常是由於用戶可以在網站上可以提交各種各樣的內容，但如果web服務端沒有正確的處理用戶輸入的數據（沒有做過濾或是其它轉義處理沒有正確的處理用戶輸入的數據），導致攻擊腳本在瀏覽器中執行。

編輯於 2019-05-07繼續瀏覽內容知乎發現更大的世界打開Chrome繼續福爾摩斌

搜索引擎

---

搜索引擎

---

瀉藥，想搞懂這些，我建議你學下後端開發，不懂編程的安全都是耍流氓。

---

總的來說，過濾關鍵詞，區別就是後台過濾方法，例如文件上傳以php來說數據打散為一個數組，判斷後綴加設白名單，sql注入預處理，xss html實體編碼...

廠商不斷地加固，黑客不斷地bypass

---

永遠不要相信用戶的輸入，過濾。

---

簡單的說，這些常規的攻擊方式目前檢測都是基於黑名單，每一種攻擊都會發送相應的payload也就是攻擊代碼，過濾相關攻擊關鍵字在目前是主要手段。

---

過濾 sql語句 特殊符號 隨時自己掃一掃自己的站吧

---

推薦閱讀：

相关文章