web安全
文章平均质量分 82
web安全
点燃银河尽头的篝火(●'◡'●)
正在努力的网工萌新一枚,请大家多多指教~
展开
-
【web安全】XSS篇
XSS全称(Cross Site Scripting)跨站脚本攻击,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。这就意味着XSS可以进行“服务端”攻击,因为管理员要比普通用户的权限大得多,一般管理员都可以对网站进行文件管理,数据管理等操作,而攻击者一般也是靠管理员身份作为“跳板”进行实施攻击。XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击代码是javascript语言,但也会使用其它的脚本语言。原创 2024-09-02 17:06:01 · 1085 阅读 · 0 评论 -
【web安全】SQL注入篇
漏洞描述攻击者利用Web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据库系统下达指令,进而实现对后台数据库乃至整个应用系统的入侵。sql 注入原理服务器没有过滤用户输入的恶意数据,直接把用户输入的数据当作sql语句执行,从而影响数据库安全和平台安全。利用条件1.程序员在处理程序和数据库交互时,使用字符串拼接的方式构造SQL语句。2.未对用户可控参数进行足够的过滤,便将参数内容拼接到SQL语句中。mysql查询语句:SQL注入分类原创 2024-08-30 19:32:21 · 1249 阅读 · 0 评论 -
【web安全】暴破篇
dig检测前提:存在域传送漏洞原创 2024-08-27 19:08:38 · 162 阅读 · 0 评论 -
【web安全】信息收集篇
直接找脚本语言框架的漏洞.git源代码泄露使用git进行版本控制,对站点自动部署,如果配置不当,可能会把.git文件夹直接部署在线上环境,这就引起了git泄露。/.git/configcvs源代码svn使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息 /.svn/entries.DS_store网站备份文件泄露:rar、zipGitHub搜索凌风云搜索官网查询备案域名:爱企查,企查查资质/网络空间 测绘平台:鹰图原创 2024-08-27 18:42:12 · 1097 阅读 · 0 评论