其实一直想写这么一篇文章 但是总觉得很低端 在各个大神的眼里也许入不了法眼 但是还是决定要写出来自己的这些经验
其实很多网站之所以存在漏洞的原因有各种各样的,我只能通过我寻找漏洞的经验来给大家粗浅的说说
在我的认识中所有的网站都是这么一种4层结构:
上图就是我所说的四层结构,这四层结构其实很粗浅,当我们从页面展示层提交某个参数时,然后通过业务逻辑层的处理形成对应的方法传递掏数据操作层,然后通过数据操作层对数据库进行操作,很多漏洞的产生原理都在这个层面上,例如我们web常用的登陆功能,用户把账号和密码输入账号密码框,然后点击提交,这样就会产生一个表单,这个表单会通过post或者get的形式提交到业务逻辑层的处理代码里面,业务逻辑层里面的方法会对这个表单进行验证以及一系列的判断(一般防注入代码都会写在这个地方,判断你传递过来的参数是否违规),判断完毕后才会把这个表单所涉及到的参数通过一些方法提交给数据操作层,然后把结果返回回来。所以说大部分网站的产生漏洞的原因就再这个业务逻辑层代码上面,所以狠多脚本小子在对于一些cms都会通过下载模版源码进行一系列的白盒检测后得出所谓的0day。
其实这些东西都是简单的一些原理问题,所以也没什么好注重的地方,只是说想给大家普及一些个人的理解!!
阅读(1444) | 评论(0) | 转发(0) |