前言:讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,其实针对漏洞的形成原理,如何发现,如何利用。
CTF,SRC,红蓝对抗,实战等
简要说明以上漏洞危害情况
每个漏洞危害情况不同
简要说明以上漏洞等级划分
漏洞危害决定漏洞等级
高危漏洞:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行
影响:直接影响到网站权限和数据库权限,能够获取数据或者网站的敏感文件。涉及到数据安全和权限的丢失都为高危漏洞
中危漏洞:反序列化、逻辑安全
低危漏洞:XSS跨站、目录遍历、文件读取
影响:网站的源码,网站部分账号密码
简要说明以上漏洞重点内容
CTF:SQL注入、文件上传、反序列化、代码执行
SRC:图片上漏洞都能出现,逻辑安全出现比较多
红蓝对抗:涉及的高危漏洞,文件上传、文件包含、代码执行、命令执行
简要说明以上漏洞形势问题
找不到漏洞是因为:信息收集没做好,自己对漏洞的理解不够
案例:
SQL注入漏洞-数据