Day7——Web安全基础下

最新推荐文章于 2024-11-06 22:31:51 发布
最新推荐文章于 2024-11-06 22:31:51 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: “考古”文章 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hk_hkl/article/details/131425226
版权
文章介绍了OWASPTop10最常见的安全漏洞,包括访问控制问题、敏感数据暴露、SQL注入等,并提到了自动化漏洞扫描工具如AWVS、Goby、Xray和Nuess。同时警告未经许可的扫描可能涉及法律责任。
摘要由CSDN通过智能技术生成

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

回顾

1.BP出现乱码,解决方法如下
在这里插入图片描述
2.字典的获取——最好自己收集,其次去网上下载。
3.http默认端口:80
https默认端口:443
https=http+ssl
4.查看源码的方式:f12或者右键查看源码
5.在这里插入图片描述

前言

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
(cookie相当于身份产生于认证)(即拿到cookie即可有机会伪造身份)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
(隔离技术)
在这里插入图片描述

一、owasp top 10漏洞(了解)(四年一更)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

1.访问控制崩溃

在这里插入图片描述

2.敏感数据暴露

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3.sql注入

在这里插入图片描述
在这里插入图片描述
#后面的内容被注释掉了,被取消了作用。【仔细回顾 数据库基础】

4.不安全的设计

在这里插入图片描述

5.安全配置不当

在这里插入图片描述

6.使用含有已知漏洞的组件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

7.认证崩溃

在这里插入图片描述
在这里插入图片描述

8.软件和数据完整性失败

在这里插入图片描述
在这里插入图片描述

9.不足的日志记录和监控

在这里插入图片描述

10.服务器端请求伪造

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二、自动化漏洞扫描工具AWVS/goby/xray/nuess

在这里插入图片描述
未经许可扫描,会被追究刑事责任!!!

麒麟安全-hkl
关注
专栏目录
Day6——Web安全基础
hk_hkl的博客
06-27 1829
互联网>因特网>万维网。
web安全入门 day01——概念名词
weixin_60937978的博客
04-17 3082
一、域名 1. 是什么 1 )定义:域名分成顶级域名,二级域名,三级域名等,比较少有四级域名。一个完整的域名由二个或二个以上部分组成,各部分之间用英文的句号"."来分隔,最右边部分称为顶级域名(TLD,也称为一级域名,包含一个合法字符串,和一个域名后缀),顶级域名的左边部分字符串到下个"."为止称为二级域名(SLD),二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配。 2)分类: 3) 举例: http://mail.163.com/index.html...
web安全——基础知识(计算机网络part1)
学习记录
03-01 8222
一、OSI七层模型 应用层 Application:网络应用程序及应用层协议留存(message) 表示层 Presentation:使通信的应用程序能够释放交换数据的含义 会话层 Session:提供数据交换定界和同步功能,包括建立检查点和恢复方案 运输层 Transport:在应用程序端点间传送用应用层报文(segment) 网络层 Network:将数据报(datagram)从一台主机移动到另一台主机 链路层 Link:相邻网络节点间传递帧(frame) 物理层 Physical:比特从一个节点移
Day9操作系统基础——linux
hk_hkl的博客
07-03 313
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
buuctf——[CISCN2019 华北赛区 Day2 Web1]Hack World
m_de_g的博客
04-22 782
【代码】buuctf——[CISCN2019 华北赛区 Day2 Web1]Hack World。
网络安全威胁——零日攻击
热门推荐
聚集机器学习、信息安全
10-08 1万+
零日漏洞也称零时差漏洞,通常是指还没有补丁的安全漏洞。由于零日漏洞的严重级别通常较高,所以零日攻击往往也具有很大的破坏性。目前,任何安全产品或解决方案都不能完全防御住零日攻击。
前端自学day04——css基础
m0_59470174的博客
02-20 411
课程自学:(b站)黑马程序员【前端HTML5+CSS3+移动Web全套教程】
Web——网络安全之通信安全_SQLite数据库(DAY9)
CHUNJIUJUN的博客
07-25 127
SQLite命令 创建 格式化输出 增删改查 insert delete update select Update语句 删除
Web——网络安全之通信安全_IP欺骗(DAY4)
CHUNJIUJUN的博客
07-20 195
IP欺骗 rlogin IP欺骗场景 LoadRunner(IP欺骗实验) 步骤
【小迪安全day11】WEB漏洞——必懂知识点
RichUee的博客
12-03 916
讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,其实针对漏洞的形成原理,如何发现,如何利用。右侧的漏洞是重点: CTF,SRC,红蓝对抗,实战等。每个漏洞的危害情况都是不同的,得到的东西也不同,影响范围也不一样; 例如:SQL注入直接获取到关于网站对应数据库里面的权限,将会影响到网站和服务器数据库,获得权限;高危漏洞:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行(直接影响到网站权限,获得数据或者网
【小迪安全day12】WEB 漏洞——SQL 注入
RichUee的博客
12-04 954
WEB 漏洞-SQL 注入在本系列课程学习中,SQL 注入漏洞将是重点部分,其中 SQL 注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关 SQL 注入的核心。同样此类漏洞是WEB 安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。
蓝盾实训营day10——Web渗透实战
mingC0758的博客
07-20 940
扫描 SQL注入 开放了80端口,直接用浏览器访问靶机的网站,发现有SQL注入点: payload http://192.168.188.150/index.php?s=/news/6) and 1=2 union select 1,database(),3,4,5,6,version()-- 最终得到数据库账号密码: 这里用的是base64加密,可以直接解密成明...
防火墙|WAF|漏洞|网络安全
最新发布
qq_43777616的博客
11-06 350
防火墙|WAF|漏洞|网络安全
网络安全从入门到精通(特别篇IIl):应急响应之病毒蠕虫处置流程
HACKONE的博客
11-06 81
排查 init.d 目录下的脚本文件,如果某个脚本启动的服务进程与名称不符,或者脚本文件的内容被修改,加有别的什么东西启动了别的进程,必须仔细排查,极可能是被用来启动后门进程了。排查C: \、C: \winnt、C: \winnt\System 、C: \winnt\ System32、C: \winnt\System32\dllcache、C: \winnt\System32\ drivers、各个Program Files目录下的内容,排查他们目录及文件的属性,若无版本说明,多为可疑文件;
2024年网络安全进阶手册:黑客技术自学路线
2401_85026965的博客
10-29 1487
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
入门网络安全工程师要学习哪些内容(详细教程)
白帽子佳奇的博客
11-06 424
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
【知识科普】常见网络安全问题以及应对方式
wendao76的专栏
11-03 653
通过实现。
网络安全:数字时代的防护盾
勇敢的人先享受世界
11-06 493
网络安全(Cybersecurity)是指采取一系列措施来保护网络及其传输的数据免受未经授权的访问、篡改、攻击和损坏。机密性(Confidentiality):确保信息只能被授权的人或系统访问,防止数据泄露。完整性(Integrity):确保数据在传输和存储过程中不被篡改,保证数据的准确性和可靠性。可用性(Availability):确保数据和网络服务对合法用户的可用性,不受阻止或中断。网络安全不仅仅是防止黑客攻击,还包括防止各种类型的网络威胁、确保系统可靠性、实施安全政策和技术等多方面内容。
“微软蓝屏”事件暴露了网络安全哪些问题?
weixin_44626085的博客
11-02 814
想象一下:一天下午,突然间,整个公司内部的电脑开始崩溃,员工们面面相觑,屏幕上闪烁着蓝色的“死机”提示。根据光明网的报道,这正是在2024年7月19日所发生的事情。全球大量Windows用户遭遇了电脑崩溃、蓝屏死机和无法重启的情况,这场技术风暴迅速冲上了微博热搜第一。你可能会想,这究竟是怎么发生的?此次事件的根源在于网络安全公司“众击”(CrowdStrike)的一次技术更新失误,他们的防病毒软件中含有致命错误。这一错误直接导致了Windows系统的崩溃,形成了大家熟知的“蓝屏死机”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值