讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,其实针对漏洞的形成原理,如何发现,如何利用。
右侧的漏洞是重点:
1、简述
应用场景
CTF,SRC,红蓝对抗,实战等。
简要说明以上漏洞危害情况
每个漏洞的危害情况都是不同的,得到的东西也不同,影响范围也不一样;
例如:SQL注入直接获取到关于网站对应数据库里面的权限,将会影响到网站和服务器数据库,获得权限;
简要说明以上漏洞等级划分
高危漏洞:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行(直接影响到网站权限,获得数据或者网站很敏感的东西)
中危漏洞:反序列化、逻辑安全
低危漏洞:XSS跨站(一般不考)、目录遍历、文件读取
漏洞的等级决定漏洞的重要程度,高危漏洞是重点;
简要说明以上漏洞重点内容
CTF:文件上传、SQL注入、反序列化(重点)、代码执行
SRC:以上图片的漏洞都有,比较多的有逻辑安全
红蓝对抗:涉及到高危漏洞,和实战相近,重点在获取权限
简要说明以上漏洞形式问题
随着安全的发展,漏洞只会越来越少,但是不是完全没有,自己找不到漏洞是因为没有做好信息收集,原理没学好,测试的时候会出问题,找不到漏洞也是自己学习没到位;
2、SQL注入—数据库操作危害
SQL Inject 漏洞攻击流程
第一步:注入点探测
自动方式:使用web漏洞扫描工具,自动进行注入点发现
手动方式:手工构造sq| inject测试语句进行注入点发现