【小迪安全day11】WEB漏洞——必懂知识点

已于 2022-12-03 18:31:51 修改
阅读量854 收藏 4
点赞数
分类专栏: 网安学习 文章标签: 安全 web安全 数据库
于 2022-12-03 18:15:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RichUee/article/details/128122069
版权

讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,其实针对漏洞的形成原理,如何发现,如何利用。

右侧的漏洞是重点:
在这里插入图片描述

1、简述

应用场景

CTF,SRC,红蓝对抗,实战等。

简要说明以上漏洞危害情况

每个漏洞的危害情况都是不同的,得到的东西也不同,影响范围也不一样;
例如:SQL注入直接获取到关于网站对应数据库里面的权限,将会影响到网站和服务器数据库,获得权限;

简要说明以上漏洞等级划分

高危漏洞:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行(直接影响到网站权限,获得数据或者网站很敏感的东西)

中危漏洞:反序列化、逻辑安全

低危漏洞:XSS跨站(一般不考)、目录遍历、文件读取

漏洞的等级决定漏洞的重要程度,高危漏洞是重点;

简要说明以上漏洞重点内容

CTF:文件上传、SQL注入、反序列化(重点)、代码执行

SRC:以上图片的漏洞都有,比较多的有逻辑安全

红蓝对抗:涉及到高危漏洞,和实战相近,重点在获取权限

简要说明以上漏洞形式问题

随着安全的发展,漏洞只会越来越少,但是不是完全没有,自己找不到漏洞是因为没有做好信息收集,原理没学好,测试的时候会出问题,找不到漏洞也是自己学习没到位;

2、SQL注入—数据库操作危害

SQL Inject 漏洞攻击流程

第一步:注入点探测
自动方式:使用web漏洞扫描工具,自动进行注入点发现
手动方式:手工构造sq| inject测试语句进行注入点发现

最低0.47元/天 解锁文章
RichUee
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
毕业设计——基于监督学习的web入侵检测系统(0day收集器).zip
03-15
基于监督学习的Web入侵检测系统的核心知识点可能包括: 1. **数据预处理**:清洗、转换和规范化网络日志数据,以便于机器学习算法使用。 2. **特征选择**:挑选出对入侵检测最有区分力的网络行为特征。 3. **监督...
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
01-09
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。...
SRC中低危漏洞的挖掘实例
leah126的博客
04-30 384
..
《安天365安全研究》第二期.pdf
08-07
1.1《黑客攻防实战——web 漏洞挖掘与利用》图书 1.2 安天实战课题研究 2017 年第二期内网渗透技术题目 1.3 关于安天 365 线下和线下交流 1.4 已出版图书 第 2 部分技术研究文章 2.1 最新勒索软件 WannaCrypt 病毒...
phpcms后台普通用户读文件0day的分析以及修复方法
09-29
本文将详细介绍一个针对phpcms系统的0day漏洞——后台普通用户读文件漏洞的原理、危害及修复方案。 #### 二、知识点详解 ##### 1. phpcms简介 phpcms是一款非常流行的开源内容管理系统(Content Management System...
信息安全书籍推荐.doc
06-24
知识点:0day安全、软件漏洞分析 18. 黑客攻防技术宝典:web 实战篇:该书籍提供了黑客攻防技术宝典的解决方案,帮助读者了解如何防御web应用的攻击。 知识点:黑客攻防、web应用安全 19. Web 应用黑客大曝光:该...
哪个邮箱最安全最好用啊
Zoho_Mail的博客
07-23 1391
Zoho企业邮箱,采用加密技术、反垃圾邮件和病毒保护,支持多因素认证,确保数据安全合规,同时提供易用性集成和移动应用。对公司,电子邮件可能带上商业计划、顾客信息、财务报表等保密信息,泄露可能导致竞争者掌握,危害企业的竞争优势与信誉。邮件炸弹进攻:很多垃圾短信的涌入可能导致邮箱服务器负荷,危害工作邮件的接收和推送,进而影响业务运作。登陆凭据、医疗记录、专利等敏感信息,一旦泄露,可能对个人或企业导致不可逆转的伤害。遵守国际安全标准和法规,如GDPR、HIPAA等,保证用户数据的合法处理和保护。
如何安全的申请SSL证书
2401_86337938的博客
07-22 1545
DV级别的证书只验证域名所有权,OV级别证书除了验证域名所有权外还会验证单位组织信息,EV级别的证书除了验证域名所有权、单位组织信息外还会验证详细组织业务信息。一旦你的证书被批准,你会收到一个包含证书文件的邮件。最后,在选择SSL证书时,也要注意选择受信任的可信根CA颁布的SSL证书,可以先向JoySSL官网工作人员发送自己需要保护的域名,提交自己所需要的证书类型,注册时填写。首先选择在授权的JoySSL提供商或者是受信任的证书颁发机构选择适合的证书类型。详细的公司信息验证,用于银行、电商等敏感行业。
日记审计遵守合规安全要求
m0_66268916的博客
07-24 503
它主要用于帮助组织实时监控与分析各种事件和行为的日志记录,以便检测潜在的安全威胁,了解系统性能和进行故障排除。它可以跟踪系统错误、异常行为和性能问题,使管理员能够迅速定位和解决潜在的技术故障,从而提高系统的可用性和性能。通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次。支持全维度、跨设备、细粒度的关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析。
数据库安全:MySQL安全配置,MySQL安全基线检查加固
wangyuxiang946的博客
07-23 2493
MySQL基线检查,基线配置,安全加固
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 990
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
Internxt:适用于Linux开源安全云存储平台
ecscoupon的博客
07-24 1314
有无数的云存储平台为您的文件提供安全可靠的存储空间。可在 Linux 上安装的热门云存储应用程序包括Dropbox、Nextcloud和Google Drive,遗憾的是,后者迄今为止不提供 Linux 客户端。其他自托管选项包括OwnCloud、Pydio Cells、Seafile、Resilio和Syncthing。另一个值得尝试的开源云存储替代方案是Internxt。Internxt总部位于西班牙,是一家总部位于瓦伦西亚的初创公司,创始人为Fran Villalba Segarra。
鸿蒙仓颉语言之【安全密码库crypto4cj】功能示例
m0_70748845的博客
07-24 914
main() {return 0​很多开发朋友不知道需要学习那些鸿蒙技术?鸿蒙开发岗位需要掌握那些核心技术点?为此鸿蒙的开发学习必须要系统性的进行。而网上有关鸿蒙的开发资料非常的少,假如你想学好鸿蒙的应用开发与系统底层开发。你可以参考这份资料,少走很多弯路,节省没必要的麻烦。由两位前阿里高级研发工程师联合打造的《鸿蒙NEXT星河版OpenHarmony开发文档》里面内容包含了(
网站被浏览器提示“不安全”,如何解决
ABCDEFK1234的博客
07-24 582
网站被浏览器提示“不安全”,如何解决
《“微软蓝屏”敲响警钟:网络安全与系统稳定何去何从》
2302_77186925的博客
07-24 1711
“微软蓝屏”事件暴露了网络安全哪些问题
非科班出身的你,如何转行web安全工程师?零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
07-29 297
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。那么,转行web安全工程师,你需要掌握哪些技能呢?对web安全工程师很感兴趣。对现在的工作没有热情。
“微软蓝屏“事件暴露了网络安全哪些问题?
程序员-张师傅
07-23 931
微软蓝屏事件,尤其是2024年7月19日发生的全球性Windows系统崩溃事件,带来了多方面的深刻教训。
网络安全相关竞赛比赛
黑战士的博客
07-18 1190
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
网络安全之不同阶段攻防手段(四)
子非渔
07-25 383
前面已经说过信息收集、扫描探测以及初始访问阶段的攻防手段,下面将说一下在攻击者获取到访问权限的情况下会接着如何进一步在网络中建立控制点、提权、横移以及完成攻击后的遗迹隐藏
数据库查询与操作指南-以Nebula图数据库为例
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 318
数据库查询与操作指南-以Nebula图数据库为例
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值