上QQ阅读APP看书,第一时间看更新
2.5 输入输出
输入输出的安全问题多是开发人员编码过程中粗心大意或安全意识缺失导致的。这些安全问题对于网站来说是非常严峻的,对数据库、网站管理权限、内网都有巨大威胁,而且可利用手法很多,如利用任意文件上传漏洞可直接获取网站shell,利用命令执行漏洞可执行命令反弹shell,利用SQL注入漏洞可查看和修改数据库信息,利用服务端请求伪造(SSRF)漏洞可攻击内网等。因此,关于输入输出的安全测试必不可少,并且是重中之重,丝毫不能疏忽和遗漏。下面我们列出输入输出方面的安全测试列表,以及存在输入输出安全问题的经典案例。