- 博客(7)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 文件上传漏洞
文件上传漏洞攻击与防范方法文件上传漏洞简介:文件上传漏洞是web安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。文件上传漏洞危害:上传漏洞与SQL注入或 XSS相比 , 其风险更大 , 如果 Web应用程序存在上传漏洞 ,攻击者上传的文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行。如果上传的文件是Flas
2021-01-07 17:30:01
319
原创 Owasp Web Top10
Owasp Web Top10SQL注入漏洞定义 SQL注入是一种将SQL代码注入或者添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析并执行。由于SQL语句本身多样性,以及用于构造的SQL语句编码方法很多,因此凡是构造SQL语句没有过滤的均存在被潜在攻击的风险攻击原理 其本质是对于输入的检查不充分,导致SQL语句将用户提交的非法数据当做语句的一部分来执行,简言而之就是用户提交的数据代入数据库的查询。利用场景 数据泄露,
2020-12-27 21:47:46
995
原创 文件上传漏洞与解析漏洞
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接有效的,有时候几乎没什么技术门槛。漏洞成因由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致用户可以越过其本身权限向服务器上传可执行的动态脚本文件。打个比方来说,如果你使用php作为服务器端的动态网站环境,那么你的上传功能出就一定不能让用户上传php类型的文件,否则黑客上传一个webshell,那么你的服务器上的文件就可以被任意修改了。文件上传的危害上传文件是web...
2020-12-23 15:31:44
844
原创 HTTP数据包介绍
1.HTTP数据包的请求结构•一个http数据包请求由4个部分组成:请求行、请求头标、空行、请求数据。•1.请求行:请求行由三个标记组成:请求方法、请求URL和HTTP版本,它们使用空格分隔。如:GET/www.xxxx.com/index.html HTTP/1.1•2.请求头行:由关键字/值对组成,每一行头,关键字和值用冒号(:)分隔。•3.空行:最后一个请求头标之后是一个空行,发送回车符和退行,表示服务器以下不再有头标。•4.请求数据:使用post传送数据,最常用的就是Content-T
2020-12-23 11:20:10
5403
原创 三、CSRF-SSRF
1、csrf漏洞介绍跨站点请求伪造(Cross Site Request Forgery)是一种经典的网络攻击方式,它一直是OWASP TOP 10之一,也被称为“One Click Attack”或者SessionRiding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。csrf与xss的区别在于,csrf并没有盗取cookie而是直接利用。xss利用站点内的信任用户,而csrf通过伪装来自受信任用户的请求来利用受信用的网站。2、csrf攻击原理利用了网站允许攻击者预测特定操作的所..
2020-12-22 20:07:31
2136
6
原创 二、跨站脚本攻击 XSS
1、简介跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。2、xxs攻击原理攻击者在有漏洞的前端页面嵌入恶意代码,导致受
2020-12-22 19:23:18
360
1
原创 一、SQL注入攻击详细介绍笔记
所谓sql注入,就是通过把sql命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令。具体来说,它是利用现有应用程序,将(恶意的)sql命令注入到后台数据库引擎执行的能力,它可以通过在web表单中输入(恶意)sql语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图就执行sql语句。1、 SQL注入的原理Sql注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句进而执行攻击者所要的操作
2020-12-22 17:44:38
970
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人