- 博客(8)
- 收藏
- 关注
原创 web渗透-------WEB漏洞(CSRF和SSRF)
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。SSRF是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。
2023-05-13 17:44:09 193
原创 web渗透-------WEB漏洞(XSS跨站脚本攻击)
如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,但是并不能防止xss漏洞只能是防止cookie被盗取。
2023-05-13 13:58:05 241
原创 web渗透-------WEB漏洞(文件上传)
文件上传漏洞是指 Web 服务器允许用户将文件上传至其文件系统,但这些文件可能并没有经过充分的验证,如文件名称、类型、内容或大小等。未能正确执行这些限制就意味着即使最基本的图像上传功能也可能用于上传任意具有潜在危险的文件,里面甚至包括远程代码执行的服务器端脚本文件。在某些情况下,上传文件的行为本身就足以造成损害,其他攻击对该文件后续 HTTP 的请求,通常是为了触发服务器执行该文件。
2023-05-12 18:51:54 1290
原创 web渗透-------WEB漏洞(SQL注入)
在mysql5.0以后的版本存在一个information_schema数据库、里面存储记录数据库名、表名、列名的数据库。(专门管理数据库的账户),root为最高权限,容易导致跨站注入数 据。普通用户:只能注入自己网站。相当于可以通过information_schema这个数据库获取到数据库下面的表名和列名。into outfile 或into dumpfile 文件写入。5)其他网站路径(进行文件读取,为高权限读取做准备)(不同的系统对数据库操作语句的大小写区分)当前网站的数据库是security。
2023-05-09 22:21:45 1537
原创 web渗透-------WEB漏洞(前期知识)
前期知识一、常见漏洞及其危害1、SQL注入2、文件上传3、XSS4、文件包含5、反序列化6、RCE7、未授权访问8、CSRF9、SSRF11、目录遍历12、XXE一、常见漏洞及其危害1、SQL注入数据库信息泄漏: 数据库中存储的用户隐私信息泄露。网页篡改: 数据库中存储的用户隐私信息泄露。网站被挂马,传播恶意软件: 数据库中存储的用户隐私信息泄露。数据库被恶意操作: 数据库中存储的用户隐私信息泄露。服务器被远程控制,被安装后门: 经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作
2023-05-08 17:42:55 251 1
原创 web渗透-------信息收集
识别方法: 搜索引擎、URL文件后缀、搭建组合推算等。识别方法: 看返回数据包、搭建组合推算、端口扫描等。识别方法: 端口扫描、搭建组合推算等。1)、大小写2)、TTL值1)、CMS开源2)、闭源售卖3)、自主研发备份: 敏感目录文件扫描-7kbscan-WebPathBruteCVS: https://github.com/kost/dvcs-ripperGIT: https://github.com/lijiejie/GitHackSVN: https://github.com/callme
2023-05-08 16:34:46 383 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人