web安全基础
关注
分享
扫一扫
记录web安全学习中的基础知识。
Seizerz
这个作者很懒,什么都没留下…
展开
-
SQL注入
一、基本知识 1、什么是SQL注入 SQL注入就是指web应用程序对用户输入数据没有做合法性判断,导致前端传入的参数可控,从而被攻击者通过构造参数进行对数据库执行任意操作。 2、SQL注入的原理 前提条件: * 参数用户可控:前端传给后端的参数内容是用户可以控制的。 * 参数带入数据库查询:传入的参数拼接到SQL语句,并带入数据库进行查询。 3、与mysql注入相关的知识点 MySQL 5.0版本...原创 2019-09-02 18:00:32 · 169 阅读 · 0 评论 -
SQL注入学习自测
以下是我在学习整理面试题时所遇到的问题,方便自己巩固sql注入的学习。 1、sql注入的原理 sql注入就是指web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过构造不同的sql语句来实现对数据库的任意操作。 2、sql注入的判断方式会几种(如何判断有sql注入) 单引号法 如果页面返回错误,则存在sql注入,因为无论是...原创 2019-09-03 00:02:17 · 926 阅读 · 0 评论 -
sql注入测试的思路
在找好需要测试的功能点之后,针对每种功能点(参数),sql注入测试一般遵循下面步骤: 1.测试注入类型,数字型or字符型 如果参数中直接包含字母,那么直接可以判断是字符型参数,如id=4a。 若参数是数字通常可以考虑输入表达式来判断,如id=6,可尝试输入id=7-1或id=3*2 如果返回结果和id=6相同,可以确认为数字,进行2. 逻辑判断 若返回空,可进一步测试是否为字符型或是否有过滤。在参...转载 2019-09-03 10:50:50 · 444 阅读 · 0 评论 -
XSS
一、什么是 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 所以,网页上哪些部分会引起XSS攻击?简单来说,任何可以输入的地方都有可能引起,包括URL! 二、XSS 常见的注入...原创 2019-09-03 15:03:24 · 994 阅读 · 0 评论 -
文件上传
文件上传校验姿势 客户端javascript校验(一般只校验后缀名) 服务端校验 文件头content-type字段校验(image/gif) 文件内容头校验(GIF89a) 后缀名黑名单校验 后缀名白名单校验 自定义正则校验 WAF设备校验(根据不同的WAF产品而定) 1.客户端校验 一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑...转载 2019-09-05 00:51:47 · 265 阅读 · 0 评论