小迪安全第11天 web漏洞,必懂知识点

最新推荐文章于 2024-03-06 23:28:31 发布
最新推荐文章于 2024-03-06 23:28:31 发布
阅读量147 收藏
点赞数
分类专栏: 2020小迪安全 文章标签: 安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46116117/article/details/121636524
版权

11 web漏洞,必懂知识点

前言:

​ 本章节将讲解各种 WEB 层面上的有那些漏洞类型,具体漏洞 的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也 是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现,如何利用将是本章节学习的重点内容!

请添加图片描述

实际应用

​ SRC CTF 红蓝对抗 实战

简要说明以上漏洞等级划分

​ 高危漏洞:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行

​ 影响:直接影响到网站权限和数据库权限,能够获取数据或者网站的敏感文件。

​ 涉及到数据安全和权限的丢失都为高危漏洞

中危漏洞:反序列化、逻辑安全

低危漏洞:XSS跨站、目录遍历、文件读取

影响:网站的源码,网站部分账号密码的泄露

简要说明以上漏洞重点内容

不同目的,漏洞考察不一样

CTF:SQL注入、文件上传、反序列化、代码执行

SRC:图片上的漏洞都能出现,逻辑安全比较多

红蓝对抗:高危漏

最低0.47元/天 解锁文章
黑小薛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《小网络安全笔记》 第十一节:WEB漏洞-知识
小陈的博客
08-20 743
前言 本章节将讲解各种WEB层面上的有那些漏洞类型,具体漏洞的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现,如何利用将是本章节学习的重点内容! 注:右边的漏洞比左边的漏洞更重要 一、简要知识 学习目的:CTF,SRC,红蓝对抗,实战等 1、简要说明以上漏洞危害情况 每个漏洞的危害都不一样,危害程度也有差距。 遇到的这个漏洞可能没用,也可能与目的有间接关系,要有耐心。 2、简要说明以上漏洞等级划分 (1)右边的属
安全笔记
ANYOUZHEN的博客
03-14 6331
1.后门 黑客留下的一个方便下次进入的网址 2.脚本语言主流php java python 3.常见漏洞 上传 代码执行 sql注入 变量覆盖 逻辑漏洞 反序列化 xss
安全培训2023期笔记汇总-持续更新
热门推荐
今天是几号的博客
03-03 1万+
基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA。基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断。信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份。基础入门-ChatGPT篇&注册体验&结合安全&融入技术&高效赋能&拓展需求。信息打点-Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报。
【小安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记(WEB攻防35-40-XSS、CSRF、SSRF)
qq_46343633的博客
12-22 1217
1、XSS跨站-原理&攻击&分类等2、XSS跨站-反射型&存储型&DOM型等3、XSS跨站攻击手法&劫持&恣取凭据等4、XSS跨站-攻击项目&XSS平台&Beef-XSS1、原理指改击者利用网程序对用户输入过不足,端入可以量示在页面上对其他用尸道成影响的HTML代码,从而盗取用户资料、利用用户具份进行某种动或者对访问者进行病毒侵害的一种攻击方式,通过在用户端注入恶意的可执行脚本,若服务器时用户的第人不进行处理或处理不严,则浏览器就会夏接执行用户注入的脚本。反馈与浏览。
安全学习笔记8~10天
qq_62023614的博客
08-03 604
在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定着是否能完成目标的测试任务。在安全测试中,若WEB无法取得进展或无WEB的情况下,我们需要借助APP或其他资产在进行信息收集,从而开展后续渗透,那么其中的信息收集尤为重要。
渗透测试培训学习笔记汇总1(小安全)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-04 1328
域名系统(服务)协议(DNS)是一种分布式网络目录服务,主要用于域名与 IP 地址的相互转换,以及控制因特网的电子邮件的发送。后门是指恶意程序或代码,通过绕过正常的访问控制机制,使攻击者能够在目标系统中保持持久的访问和控制权限。后门通常被用于非法入侵、数据盗取、远程控制等恶意活动。常见的后门类型包括:逻辑后门:通过在代码中插入特定的条件或逻辑,使攻击者可以在特定条件下获得未授权的访问权限。(黑客遗留的后门文件,网站后门webshell)远程后门。
python开发“小安全课堂笔记”
weixin_42902126的博客
05-10 1771
python开发Python 开发相关知识点:基础环境安装Python 开发-内外网收集 Socket&子域名&DNS演示案例涉及资源:Python 开发-批量 Fofa&SRC 提取&POC 验证Python 开发-某漏洞 POC 验证批量脚本Python 开发-Fofa 搜索结果提取采集脚本Python 开发-教育 SRC 报告平台信息提取脚本涉及资源:Python 开发-多线程 Fuzz&Waf 异或免杀&爆破案例 1-Python 开发-简单多线程技术
[BT]小安全2023学习笔记(第20天:Web攻防-PHP特性)
最新发布
Bluetuan的博客
03-06 796
当使用 == 操作符时,PHP将进行宽松比较,也就是说,只比较两个值的等价性,而不考虑它们的类型。如果两个值类型不同,PHP会尝试将它们转换成相同的类型,然后再进行比较。例如,字符串 “100” 和整数 100 使用 == 比较时结果为 true,因为字符串 “100” 在比较时会被转换成整数 100。使用 === 操作符时,PHP将进行严格比较,这意味着它不仅比较两个值的等价性,还会比较它们的类型。只有当两个值的类型相同,且值也相等时,比较结果才为 true。
2021-09-06
qq_2604939074的博客
09-06 311
基础入门-数据包拓展 HTTP/HTTPS 具体区别?(Https更加安全) Request 请求数据包数据格式 1.请求行:请求类型/请求资源路径、协议的版本和类型 2.请求头:一些键值对,浏览器与web 服务器之间都可以发送,特定的某种含义 3.空行:请求头与请求体之间用一个空行隔开; 4.请求体:要发送的数据(一般post 提交会使用);例:user=123&pass=123 请求行:请求行由三个标记组成:请求方法、请求URL 和HTTP 版本,它们用空格分享。 例如:GET /in
2020小培训(第14天 WEB 漏洞-类型及提交注入)
是阿明呐的博客
08-11 739
WEB 漏洞-类型及提交注入 前言 ​ 在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取, 后续安全测试中我们也须满足同等的操作才能进行注入。 简要明确参数类型 数字、字符、搜索、JSON (在实际操作中,我们需要用工具/人工进行多次尝试) 数字:前面教程所演示的SQL注入参数类型都是数字型的,我们在注入的时候不需要进行符号闭合的操作 字符:带有单引号,我们不能再采取数字型的注入方式,不然咱们进行测试的语句也被带进语
第九期渗透培训
11-19
第九期渗透培训 里面有惊喜干货!实战渗透
安全笔记,详细版本
01-23
安全笔记,详细版本,巨细无比
2018 web渗透教程(150节课左右持续更新中)11月5号更新
SuperZedLv的博客
11-04 1万+
原文博客地址:http://www.superzedlv.cn/?id=17 讲 师:SuperZedQ Q:2732663467博客地址 :http://www.superzedlv.cn微信公众号:SuperZedLv声明:本教程只做技术研究请不要用于非法用途请认真一些,连解压密码下面有,你们不要老是问解压密码声明:不做公益,前面35节课免费,后面的不免费,想学习交流的
安全学习笔记--第11天:web漏洞---知识
zr1213159840的博客
11-05 2861
课程链接 第11天:web漏洞知识点 前言:本章节将讲解各种WEB层面上的有哪些漏洞类型,具体的漏洞的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现,如何利用将是本章节学习的重点内容! 简要说明以上漏洞的危害 注入:获取数据库中的数据,破坏网站,破坏数据库 文件上传:上传webshell,获取控制权限。提权。上传各种病毒文件。 xss:主要用来获取cookie,拿到后台的权限 文件包含:web服务器的文件被外界浏览导致
【小安全】web安全|渗透测试|网络安全 | 学习笔记-终
youngerll的博客
01-04 5099
【小安全】web安全|渗透测试|网络安全 | 学习笔记-终
【小安全学习笔记】基础入门-Web源码拓展
Akrios的博客
05-14 980
前言:Web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中Web源码有很多技术需要简明分析。比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 知识点: 关于Web源码目录结构 数据库配置文件,后台目录,模板目录,数据库目录等 index.php 根据文件后缀判定 admin 网站后台路径 data 数据相关目录 install 安装目录 member
【小安全学习笔记】基础入门-系统及数据库等
Akrios的博客
05-18 776
前言:除去搭建平台中间件,网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到Web或服务器的安全,导致网站或服务器权限的获取。 操作系统层面 识别操作系统常见方法 通过网站或通过扫描相关软件识别 大小写对网页都没有影响,这种情况就可以认定为windows服务器,因为windows服务器不区分大小写 这个网站对应的操作系统是linux服务器 也可以用TTL来判断服务器系统,相邻的值来判断 ip地址可用nmap来判断操作系统 nmap -O IP 简要两者区
web HTTP数据包结构
diandaochao5235的博客
07-18 210
状态码 请求方法 请求文件 请求域名 请求类型 大小 时间 状态码: 200:请求到了文件,文件存在 301:重定向,文件存在或不存在 403:文件夹存在 404:文件或者文件夹不存在 500:文件或者文件夹均可能存在或者不存在 转载于:https://www.cnblogs.com/w1023913214/p/11210313.html...
【小安全学习笔记】WEB漏洞-知识
Akrios的博客
05-21 1870
前言:讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,气质针对漏洞的形成原理,如何发现,如何利用。 CTF,SRC,红蓝对抗,实战等 简要说明以上漏洞危害情况 每个漏洞危害情况不同 简要说明以上漏洞等级划分 漏洞危害决定漏洞等级 高危漏洞:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行 影响:直接影响到网站权限和数据库权限,能够获取数据或者网站的敏感文件。涉及到数据安全和权限的丢失都为高危漏洞
软考网络工程师知识点汇总.pdf pan
06-21
第八章至第十一章介绍了局域网和广域网的相关知识,包括局域网的组网技术、以太网和交换机、VLAN和STP协议、广域网的组网技术和传输协议。 第十二章到第十四章介绍了路由器和交换机的相关知识,包括路由器的组网...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值