小迪安全 第十一天 WEB漏洞-必懂知识详解 课后复习

最新推荐文章于 2024-06-08 13:46:20 发布
最新推荐文章于 2024-06-08 13:46:20 发布
阅读量132 收藏
点赞数
文章标签: 安全 docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MyOLsun/article/details/130232443
版权

本节课主要演示了部分WEB漏洞的简单操作,分别为SQL注入之数字注入、文件遍历漏洞、文件上传漏洞、文件下载漏洞。

一、pikachu环境搭建

演示之前进行靶场环境的搭建,根据网上笔记,使用Linux搭建Docker环境。
本人现在网上下载的Ubuntu 22.04.2版本的桌面系统镜像,使用VMware安装后VMware Tools工具有点问题,虚拟机和主机无法进行复制粘贴操作,重装VMware Tools工具后也没用,然后在Linux系统内执行下面命令:

sudo apt-get autoremove open-vm-tools
sudo apt-get install open-vm-tools-desktop

重启虚机后可正常复制粘贴操作。

虚机内没有Docker环境,执行命令

sodu docker

根据提示命令安装的Docker环境。
根据网上笔记,拉取靶场环境,使用pikachu靶场,并运行靶场:

web@web:~$ sudo docker pull area39/pikachu
web@web:~$ sudo docker run -d -p8080:80 area39/pikachu

访问Linux的IP加上面启动时的8080端口,进入pikachu界面:
在这里插入图片描述

二、sql注入之数字注入

最低0.47元/天 解锁文章
MyOLsun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
渗透笔记-WEB漏洞-必懂知识
weixin_44532761的博客
10-13 932
小迪笔记 v9
网安学习——web漏洞(上)
haoaaao的博客
02-13 2309
????????笔记来源????:11.WEB漏洞——SQL注入之必懂知识点 · 语雀 (这个博主笔记写的太详细了,看他的比看我自己的还有用,借用方便日后复习) 一、web漏洞必懂知识点 1、常见web漏洞的危害⚠️ (1)、sql注入 (2)、xss (3)、xxe???? (4)、文件上传 (5)、文件包含 (6)、文件读取 (7)、csrf(用户请求伪造) ...
第11篇:WEB漏洞~必懂知识点讲解
廖一语山的博客
09-22 618
目录前言 前言   本章节将讲解各种WEB层面上有哪些漏洞类型,具体漏洞的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也是后边我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现、如何利用将是本章节学习的重点内容! ...
第11天-Web漏洞——必懂知识
MCTSOG的博客
01-19 5516
实际应用中右边方框中的漏洞,碰到的概率比较大! 简要说明以上漏洞危害情况 SQL注入危害 1.攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。 2.可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。 3.如果网站目录存在写入权限,可以写入网页木马。攻击者进而可以对网页进行篡改,发布一些 违法信息等。 4.经过提权等步骤,服务器最高权限被攻击者获取。攻击者可以远程控制服务器,安装后门,得 以修改或控制操作系统 文件上传危害 如果 Web应用程序存在.
Webshell实现与隐藏探究
weixin_30832405的博客
08-27 1240
一、什么是webshell webshell简介 webshell,顾名思义:web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限,也叫webadmin。webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件,查看数据...
信息技术(高)---真题详解
Allure泽宇的博客
06-30 3305
信息技术(高)---真题分析详解
Java安全知识详解:加密、认证、防护和漏洞扫描
06-19
深入介绍了Java安全领域的关键知识点,包括加密和解密、安全认证和授权、安全通信和防护以及安全漏洞扫描。通过详细解析和说明,读者将获得全面的Java安全知识,了解加密算法、认证协议、防护机制和漏洞扫描工具的...
微信小程序-API接口安全详解
10-16
主要介绍了微信小程序-API接口安全详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
微波基础知识-smith圆图详解.pdf
06-09
微波基础知识-smith圆图详解
PHP漏洞全解1-9_php安全开发技巧_php安全开发基础详解_
09-29
php漏洞全解,php安全开发基础详解,php安全开发技巧
详解直接访问WEB-INF目录下的JSP页面的方法
10-19
主要介绍了详解直接访问WEB-INF目录下的JSP页面的方法的相关资料,需要的朋友可以参考下
web基础漏洞总结
<XiaoHai>的博客
06-04 1856
web基础漏洞详解
安全生产月”专题报道:AI智能监控技术如何助力安全生产
TSINGSEE青犀视频官方技术博客
06-04 979
方案能够通过对人员行为的识别和分析,判断是否存在安全隐患。这些功能的实现,有助于企业提高安全管理水平,减少因人为因素导致的安全事故。
车联网安全入门——CAN总线逆向(ICSim)
weixin_66578482的博客
06-04 820
🚀🚀ICSim是一个用于模拟车辆仪表集群的工具,专门为 SocketCAN 设计。SocketCAN 是 Linux 内核中的一个模块,用于支持控制器局域网(CAN)接口。!!cansniffer,SavvyCAN
《软件定义安全》之三:用软件定义的理念做安全
最新发布
大龄IT民工
06-08 765
中心化的智能控制系统网络控制器就能根据上下文场景,计算网络或安全策略,快速、有效地调度网络中的流量。全局和实时流量视图SDN控制器具有全局网络实时的流量信息,这些信息在很多防护场景中非常有用。例如,在DDoS检测时,可获取物理网络处的硬件交换机的sFlow或OpenFlow流信息,然后根据数据包流的统计特征进行判断,确认是否存在恶意攻击。基于全局网络设备提供的流量信息,可构建基于流量的实时和历史知识库,进而运行时对任意访问进行分析,确认其在历史知识库中是否存在相似的模式。
“网络战时代的国家安全:策略、技术和国际合作“
2403_84237550的博客
06-05 504
综上所述,网络战时代的国家安全策略必须是多维度、多层次的,既要注重内部能力的建设,也要加强外部合作,形成一个立体、动态的安全防护体系。这不仅是技术上的较量,更是策略智慧和国际合作能力的考验。1. 建立全面的网络战战略:国家需要一个清晰、前瞻性的网络战战略,既包括防御也涵盖进攻,同时要体现“积极防御”的理念,即在遭受攻击前便通过情报收集、漏洞管理等手段预判并阻止威胁。3. 强化跨部门协同:建立跨政府、军队、私营部门和民间的协作机制,确保信息共享、资源调配和快速响应,形成统一的网络防御阵线。
WEB攻防- Javascript项目特性- Node.js框架安全-识别审计-验证绕过
weixin_45534587的博客
06-04 757
从代码中可以看出 ,上传图片功能是通过js验证的,限制了大小和格式,我们可以通过浏览器禁用js代码来绕过,需要注意如果网站是纯js开发,直接禁用可能会导致网站打不开等问题。这时候可以用网站下载器可以去下载到源码,然后在进行禁用来绕过验证,但这个案例没能下载到源码,也不能直接禁用js,但是上传视频没有验证。Node.js CVE-2017-14849 漏洞产生的原因主要涉及Node.js 8.5.0版本中的一个特定逻辑错误,特别是在处理目录路径的normalize操作时。源代码简短,引入多个js文件。
人工智能安全风险分析及应对策略
lurenjia404的博客
06-06 1398
算力是 AI 的“四肢”,是算法和数据的基础设施,AI 算法模型对于算力的巨大需求,推动了今天芯片甚至算力产业的发展。在通信领域,AI 应用可帮助改进信息通信服务能力,例如,其在自然语言上的强大能力可用于提升智能客服、智慧运营、欺诈监测等运营服务功能,通信网络中的海量数据有助于训练 AI 模型,使网络能够实现自主运行。强化安全技术手段建设,建设涵盖网络安全、算法安全、数据安全与隐私保护等功能的 AI 安全管控能力,为企业组织的 AI 能力与应用提供安全防护,保障 AI 业务健康发展。
CVE-2019-16759漏洞原理详解
08-19
### 回答1: 这个问题我可以回答。CVE-2019-16759漏洞是LibreOffice软件中的一个漏洞,攻击者可以利用该漏洞通过特制的ODF文档文件来执行任意代码。该漏洞的原理是由于LibreOffice在处理ODF文档时,没有正确地验证文档中的宏代码,导致攻击者可以通过恶意代码来执行任意命令。该漏洞已经被修复,建议用户及时更新软件版本。 ### 回答2: CVE-2019-16759是一个存在于某个软件或系统中的安全漏洞。该漏洞具体的原理是指某个软件或系统的设计或实现过程中存在的缺陷,使得攻击者可以利用这个缺陷来执行恶意操作。 对于CVE-2019-16759漏洞而言,具体的原理可以分为以下几个方面进行解析。 首先,CVE-2019-16759漏洞可能涉及到软件或系统中的某个输入验证机制存在问题。在正常的运行过程中,软件或系统需要接受用户的输入,并对输入进行验证,以确保输入的合法性。然而,由于软件或系统在输入验证方面存在缺陷,攻击者可以发送恶意输入来绕过验证过程,从而导致安全漏洞的产生。 其次,CVE-2019-16759漏洞可能与某个安全控制机制的问题有关。安全控制机制是指软件或系统中用于限制用户权限和保护敏感数据的一系列规则和方法。然而,由于软件或系统在安全控制方面存在漏洞,攻击者可以绕过控制机制,获取未经授权的访问权限或窃取敏感数据。 第三,CVE-2019-16759漏洞可能涉及到软件或系统中的某个错误处理机制存在问题。在软件或系统的运行过程中,会出现各种错误和异常情况,需要有相应的处理机制来处理这些问题。然而,由于软件或系统在错误处理方面存在缺陷,攻击者可以利用这些错误和异常情况来执行恶意操作,进而导致安全漏洞的产生。 总之,CVE-2019-16759漏洞的原理可以归结为输入验证机制的问题、安全控制机制的问题和错误处理机制的问题等方面。攻击者可以利用这些缺陷来绕过验证、获取未经授权的权限或窃取敏感数据,从而导致软件或系统的安全性受到威胁。为了解决该漏洞,开发者或维护者需要修复相关的软件或系统,增强输入验证、安全控制和错误处理等方面的能力,确保软件或系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值