web安全
web漏洞总结
Lelouch_E
这个作者很懒,什么都没留下…
展开
-
Owasp top10 小结
Owasp top10 1.SQL注入 原理:web应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过恶意的sql语句来实现对数据库的任意操作。 2.失效的身份认证和会话管理 原理:在开发web应用程序时,开发人员往往只关注Web应用程序所需的功能,所以常常会建立自定义的认证和会话方案。但是要正确的实现这些方案却是很难的。结果就在退出,密码管理,超时,密码找回,账户更新等方面存在漏洞。 危害:由于存在以上的漏洞,恶意用户可能会窃取原创 2020-10-13 19:47:23 · 289 阅读 · 0 评论 -
报错注入 2020-10-04
报错注入 因为对报错注入还不是很懂,单拎出来学习; 报错注入在没法用union联合查询时用,但前提还是不能过滤一些关键的函数/ 报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中 xpath语法错误 利用xpath语法错误来进行报错注入; 主要利用extractvalue()和updatexml()两个函数; 利用条件:mysql版本>5.1.5 extractvalue()函数 函数原型:extractvalue(xml_document,Xpath_原创 2020-10-05 20:05:12 · 134 阅读 · 0 评论 -
常见SQL注入类型 2020-10-04
常见SQL注入类型最基础的注入-union注入攻击Boolean注入攻击-布尔盲注报错注入攻击时间注入攻击-时间盲注堆叠查询注入攻击二次注入攻击宽字节注入攻击base64 注入攻击cookie注入攻击-http请求头参数注入XFF注入攻击-http请求头参数注入知道绝对路径的注入 最基础的注入-union注入攻击 判断是get型还是post型注入; 找到正确的闭合规则; order by 查询字段数; union select 1,2…# 查询显示位是第几位,没有的话就试试把id=1显示位让原创 2020-10-05 20:02:45 · 326 阅读 · 1 评论 -
sql注入基础知识点总结
sql注入基础知识点总结sql注入原理适用类型sql注入漏洞的常见类型sql注入点的类型sql注入一般步骤如何防御sql漏洞? sql注入原理 sql注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是sql语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。(从客户端提交特殊的代码,从而收集服务器与程序的信息,获取到想要的数据) 适用类型 只要是支持批处理SQL指令的数据库服务器,都有可能受到这种手法的原创 2020-10-05 20:03:45 · 420 阅读 · 0 评论