网络安全之WEB注入漏洞(上)

最新推荐文章于 2022-09-08 10:27:11 发布
最新推荐文章于 2022-09-08 10:27:11 发布
阅读量1.1k 收藏 9
点赞数 6
文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46246629/article/details/123855334
版权

WEB漏洞-----SQL

壹.基础知识

前言

讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,其实针对漏洞的形成原理,如何发现,如何利用。

结构图

img

实际应用

CTF,SRC,红蓝对抗

简要说明以上漏洞危害情况

  1. SQL注入

    1. 攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
    2. 可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。
    1. 如果网站目录存在写入权限,可以写入网页木马。攻击者进而可以对网页进行篡改,发布一些违法信息等。
    2. 经过提权等步骤,服务器最高权限被攻击者获取。攻击者可以远程控制服务器,安装后门,得以修改或控制操作系统。

  4. XSS

    1. 窃取管理员帐号或Cookie,入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息。
    2. 窃取用户的个人信息或者登录帐号,对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作
    1. 网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时,用户的计算机会被植入木马
    2. 发送广告或者垃圾信息。攻击者可以利用XSS漏洞植入广告,或者发送垃圾信息,严重影响到用户的正常使用

  7. XXE

    1. 读取任意文件
    2. 执行系统命令
    1. 探测内网端口
    2. 攻击内网网站

  10. 文件上传

如果 Web应用程序存在上传漏洞 , 攻击者甚至可以将一个webshell直接上传到服务器上

  1. 文件包含(能含有文件包含的漏洞:inurl:php?file=

    1. web服务器的文件被外界浏览导致信息泄露
    2. 脚本被任意执行,可能会篡改网站、执行非法操作、攻击其他网站

  3. 文件读取

通过任意文件下载,可以下载服务器的任意文件,web业务的代码,服务器和系统的具体配置信息,也可以下载数据库的配置信息,以及对内网的信息探测等等

  1. CSRF(用户请求伪造

    1. 以受害者名义发送邮件,发消息,盗取受害者的账号,甚至购买商品,虚拟货币转账,修改受害者的网络配置(比如修改路由器DNS、重置路由器密码)等等
    2. 个人隐私泄露、机密资料泄露、用户甚至企业的财产安全

  3. SSRF (服务器端请求伪造

    1. 可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner 信息
    2. 攻击运行在内网或本地的应用程序
    1. 攻击内外网
最低0.47元/天 解锁文章
Guigui-23
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
Web攻击之常见的SQL注入(1),读完我这份《网络安全开发核心源码精编解析》面试至少多要3K
m0_60634964的博客
04-06 721
SELECT database(); SELECT schema_name FROM information_schema.schemata;–MySQL 4版本时用version=9,MySQL 5版本时用version=10 UNION SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE version=10; /* 列出当前数据库中的表 / UNION SELECT TABLE_NAME FROM informa
扶摇安全实验室|Web文件上传漏洞原理以及如何规避被攻击的应对方法
cyh17677的博客
11-25 797
一句话木马演示普通的文件上传
VS中通过Session实现网站安全机制
03-25
我们新学语言的总是想着完成功能就成 没有考虑那么多 网站的各种性能 当别人登录过一次网站 记住后面的URL 完全可以直接跳过登录就执行后面的操作 使得网站 安全大大受损。要解决这个问题 就需要Session来实现验证了。
Visual Studio 2017设置版权的方法
10-20
主要为大家详细介绍了Visual Studio 2017设置版权的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
文件包含漏洞,任意文件下载/读取,常用敏感文件总结
06-11 2634
Windows: C:\boot.ini //查看系统版本 C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件 C:\Windows\repair\sam //存储系统初次安装的密码 C:\Program Files\mysql\my.ini //Mysql配置 C:\Program Files\mysql\data\mysql\user.MYD //Mysql root C:\Windows\php.ini //php配置信息 C:\Wind
安全漏洞——注入(一)
weixin_41367084的博客
08-25 356
一、注入 1.名词解释 2.编译器与解释器的区别 二、易受攻击注入 1.易受注入原因 2.ORM查询 3.面向对象的语言与关系型数据库不对应的原因 三、防止注入 1.防止注入原理 2.防止注入方法 3.注意事项 一、注入 1.名词解释:攻击者向解释器发送恶意数据 2.编译器与解释器的区别: 3.注入漏洞发现:通过扫描器和模糊测试工具 二、易受攻击注入 1.易受注入原因 2.ORM查询:对象关系映射,使用描述对象和数据库之间映射的元数据,将面向对象语言程序中的对象自动持久化到关系型数据库中。本质上将数.
一个文本框可能存在哪些漏洞
tlovejr的博客
02-28 881
一个文本框可能存在哪些漏洞 前言用户名枚举弱口令空口令登录认证绕过存在暴力破解风险图形验证码不失效短信验证码绕过短信验证码可暴力破解短信验证码可预测短信炸弹恶意锁定问题密码明文传输反射型跨站脚本攻击万能密码sql注入任意用户密码修改/重置目录遍历敏感文件信息泄漏框架漏洞SSO...
第11天-Web漏洞——必懂知识点
MCTSOG的博客
01-19 5495
实际应用中右边方框中的漏洞,碰到的概率比较大! 简要说明以上漏洞危害情况 SQL注入危害 1.攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。 2.可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。 3.如果网站目录存在写入权限,可以写入网页木马。攻击者进而可以对网页进行篡改,发布一些 违法信息等。 4.经过提权等步骤,服务器最高权限被攻击者获取。攻击者可以远程控制服务器,安装后门,得 以修改或控制操作系统 文件上传危害 如果 Web应用程序存在.
测试web应用程序搜索SQL注入漏洞
sxyzwq的专栏
09-12 4929
1.简单的SQL注入(select colunmns from table where criteria='')   在搜索框中输入 ' 然后单击,查看SQL错误信息,如果返回错误信息说明出现未匹配的单引号,结构破坏  输入:' or 1=1#'(数据库的注释方式很多包括--。#。//)  2.查询列表中有多少列    ' union select null #'  合并一列    'u
网络安全——SQL注入漏洞
weixin_54055099的博客
09-08 1万+
SQL注入基本知识和SQL注入基本流程,sqli-labs
Web网络安全漏洞分析,SQL注入原理详解
HBohan的博客
04-11 5539
本文主要为大家介绍了Web网络安全漏洞分析SQL注入的原理详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪 一、SQL注入的基础 1.1 介绍SQL注入 SQL注入就是指Web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。 下面以PHP语句为例。 $query = "SELECT * FROM users WHERE id = $_GET['id']"; 由于.
网络安全漏洞分析.mp4
11-13
黑客利用网站操作系统的漏洞Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。 本视频详细讲解了网络...
计算机网络安全web漏洞扫描工具
04-01
早在1997年Acunetix工程师就已关注网络安全并成为网络站点分析和漏洞检测方面的编程领导者。多达70 %的网站有漏洞,可能导致公司机密数据被盗,如 信用卡信息和客户名单。 黑客正在每天24小时,每周七天的专注攻击...
web安全漏洞解析
10-11
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web...
Web安全漏洞扫描工具-AWVS14
07-05
AWVS14,Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。WVS可以检查SQL注入漏洞,也可以检查跨站脚本攻击漏洞,可以扫描任何...
WEB安全漏洞集锦
09-05
WEB安全漏洞 1 1. SQL注入漏洞 4 漏洞描述 4 漏洞危害 4 解决方案 4 代码示例 4 2. 跨站脚本(XSS)漏洞 6 漏洞描述 6 漏洞危害 6 解决方案 7 代码示例 7 3. HTTP header注入漏洞 8 漏洞描述 8 修复建议 8 4. 目录...
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 16万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
Web安全—CRLF注入漏洞
weixin_44431280的博客
02-10 3340
CRLF注入漏洞详解: CRLF简介:CRLF指的就是回车符(CR,ASCII-13,\r,%0d)和换行符(LF,ASCII-10,\n,%0a),操作系统就是通过这个标识进行换行的,相当于我们键盘的回车键。 HTTP协议中的CRLF:在HTTP协议报文中,CRLF随处可见,请求行与请求头通过一个CRLF(\r\n)隔开,请求头(header)和请求主题(body)之间通过两个CRLF(\r\n)隔开,如下图: CRLF注入漏洞简介:由于服务端未对用户输入的参数进行过滤,攻击者可通过构造恶意的HTTP请
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8253
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
web安全漏洞加固手册
最新发布
07-28
Web安全漏洞加固手册是一本指导开发人员和网络管理员如何保护网站和应用程序免受攻击的手册。这本手册详细介绍了常见的Web安全漏洞,以及如何修补和加固这些漏洞,以提高Web应用程序的安全性。 对于跨站脚本攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值