----注入缺陷(Injection Flaws)注入缺陷是经典的由于过滤不受信任的输入的失败造成的.当我们将未过滤的数据传递到SQL服务器(SQL 注入)/浏览器(通过跨站脚本)/LDAP 服务器(LDAP...,用户的浏览器将执行它.这是一个相当普遍的过滤失败,(本质上是注射缺陷).例如:在页面加载时,脚本将运行并用于某些权限的cookie发送给攻击者.预防将一些HTML标签转为实体.如:转为...由于服务器端生成页面,客户端将无法访问服务器未提供的功能.但是事情并没有那么简单,因为攻击者总是可以伪造对"隐藏"功能的请求.假设有一个面板,并且该按钮仅在用户实际上是管理员时才会显示.如果缺少授权,没有什么能阻止攻击者发现和滥用此功能....假设目标站点具有将URL作为参数.操作参数可以创建一个将浏览器重定向到的URL.用户会看到链接,它看起来无害,足以信任和点击.但是单击此链接可能会将用户转移到恶意软件的页面。...或者转向到攻击者自己的钓鱼网站内.预防不要做重定向当需要重定向时,需要有一个有效重定向位置的静态列表或数据库.将自定义参数列入白名单(不过跟麻烦)----当然条件允许的话可以使用腾讯云旗下的安全产品:T-Sec