![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全
web安全
橙子*
这个作者很懒,什么都没留下…
展开
-
文件上传
文件上传原理在网站运营过程中,不可避免地要对网站的某些页面或者类容进行更新,这时便需要使用到网站的文件上传的功能。如果不对被上传的文件进行限制或者限制被绕过,该功能便有可能会被利于于上传可执行文件,脚本到服务器上,进而进一步导致服务器沦陷。常见漏洞分类文件上传漏洞满足条件1. 文件上传功能能正常使用2. 上传文件路径可知3. 上传文件可以被访问4. 上传文件可以被执行或被包含...原创 2020-01-08 09:29:15 · 1409 阅读 · 0 评论 -
暴力破解之DVWA
暴力破解之DVWA常见攻击流程常见分类B/S架构暴力破解包含如下分类登录框URL参数(用户ID值,目录名,参数等)验证码C/S架构暴力破解Windos远程桌面SSH远程管理数据库账号密码(MYSQL,MSSQL,Oracle)FTP账号密码危害B/S架构常见检测方式C/S架构常见检测方式burp四种暴力破解类型:sniper 一个字典,两个参数,先匹...原创 2020-01-07 09:21:38 · 228 阅读 · 0 评论 -
XSS攻击
XSS攻击原理人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实...原创 2020-01-02 16:19:39 · 2240 阅读 · 1 评论 -
sql手工注入
原理利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。重点部份手工注入网站:1:开发一个注入网页漏洞。(产生机理…,如何去挖掘一个网站注入漏洞)A:创建数据库的后台(加入数据)mysql> create database infor...原创 2020-01-02 15:33:34 · 742 阅读 · 1 评论