了解各种常见漏洞的原理:
CSRF,SSRF,目录遍历,文件读取,文件下载,命令执行,XXE安全,SQL注入,文件上传,XSS跨站脚本漏洞,文件包含,反序列化,代码执行,逻辑漏洞,未授权访问,
SQL注入:会直接影响到网站数据库,获取到系统数据库中的数据。
文件上传:可直接影获取到网站管理员权限
XSS跨站脚本:围绕cookie
每个漏洞产生的危害都有所不同,要能明白发现的漏洞能帮你完成哪些事。
一些会出现在SRC,CTF,红蓝对抗,攻防实战中需要注意的问题:
漏洞的危害情况,漏洞等级(高危,中危,低危)
高危:SQL注入,文件上传,文件包含,代码执行,未授权漏洞
SRC:逻辑安全
红蓝对抗:可利用发现的高危漏洞来进行后渗透操作从而刷分,而仅仅发现漏洞并不足以支撑后渗透操作。
在挖掘漏洞之前,信息收集很重要
信息收集分为工具和手工