WEB 常见漏洞整理

已于 2022-09-26 10:24:52 修改
阅读量1.3k 收藏 3
点赞数
文章标签: 安全 web安全
于 2022-09-26 01:31:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/the_world_go/article/details/127038510
版权
本文详细介绍了WEB安全中的三种常见漏洞:SQL注入、CSRF和XSS。针对SQL注入,讲解了其产生原因、威胁、分类及防御措施,包括getshell方法。接着讨论了CSRF漏洞,阐述了其威胁、类型、原理、检测和防御策略。最后,探讨了XSS攻击的原理、类型、威胁和防御手段,如HttpOnly绕过问题。
摘要由CSDN通过智能技术生成

一、sql注入

产生原因:

刚刚讲过当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。
这种网站内部直接发送的Sql请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的数据被构造成恶意 Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的参数进行审查,则会带来意想不到的危险。

威胁:

1、猜解数据库,盗取数据库信息。

2、绕过验证,直接登录网站后台。

3、如果网站目录存在写入权限,可以写入网页木马。

4、提权

分类:

1、按注入点类型分:
  数字型
   这一类的 SQL 语句原型大概为 select * from 表名 where id=1
   可以构造 select * from 表名 where id=1 and 1=1 一类的语句
  字符型
   这一类的 SQL 语句原型大概为 select * from 表名 where id=‘1’ (单引号双引号都有可能)
   可以构造 select * from 表名 where id=‘1’ and 1=1 #’ 一类的语句 (#用于忽略最后的 ’ )
   也有 select * from users where username=‘1’ or ‘1’=‘1’ and password=‘1’ or ‘1’=‘1’
  
2、按照提交数据来分类:  
   GET 注入
   提交数据的方式是 GET , 注入点的位置在 GET 参数部分。比如有这样的一个链接http://xxx.com/news.php?id=1 , id 是注入点。
   POST 注入
   使用 POST 方式提交数据,注入点位置在 POST 数据部分,常发生在表单中。
   Cookie 注入
   HTTP 请求的时候会带上客户端的 Cookie, 注入点存在 Cookie 当中的某个字段中。
   HTTP 头部注入
   注入点在 HTTP 请求头部的某个字段中。比如存在 User-Agent 字段中。严格讲的话,Cookie 其实应该也是算头部注入的一种形式。因为在 HTTP 请求的时候,Cookie 是头部的一个字段。
  
3、按照执行效果来分类:
   基于布尔的盲注
   根据返回页面判断条件真假的注入。
   基于时间的盲注
   能根据页面返回内容判断任

最低0.47元/天 解锁文章
the_world_go
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
常见Web漏洞整理
TH_DL的博客
07-14 796
常见Web漏洞的基本原理,利用,防御的整理,包括XXS、CSRF、注入攻击、SSRF、文件上传、文件包含。
常见WEB漏洞整理-CSRF
06-11
适合由于初学者进行框架了解,和大师傅们进行回顾
web漏洞总结
weixin_33778544的博客
03-19 112
目录: 1.sql注入获取数据库信息2.sql注入绕过管理后台登录3.反射型xss4.存储型xss5.csrf6.文件上传7.暴力破解8.目录遍历9.权限跨越10.文件包含11.未知漏洞 web漏洞演练平台:https://pentesterlab.com/web_for_pentester.html web漏洞演练平台使用手册及答案详解:https://pentesterlab.com/w...
浅析常见WEB安全漏洞及其防御措施_web漏洞防护
最新发布
Z4400840的博客
06-25 918
在网络攻防中,Web系统通常是攻击者的首选目标,攻击者大都通过Web打点的方式,先拿到边界Web服务器的权限,再以此为跳板实施内网横向渗透。由于Web系统通常涉及大量的用户数据和敏感信息,一旦受到攻击或破坏,可能造成数据泄露、服务中断等影响。相较于攻击方,Web系统也是防守方的重点防护对象。作为安全开发或安全运营人员,及早发现和修复潜在的WEB安全漏洞,不仅有助于提高互联网业务系统的稳定性,也能降低后期安全运营工作的压力和成本。【一一帮助安全学习,所有资源获取处一一】①网络安全学习路线。
Web常见安全漏洞
cwb_真水无香
04-15 8822
1 越权漏洞 越权指主体逾越权限访问资源。比如用户张三取消了用户李四的外卖订单、商户营业员查看了财务信息(假定角色营业员没有财务权限)。 越权的分类: 水平越权:如上述张三取消李四外卖订单。数据越权需从数据层面考虑,映射到关系数据库中的表,应该需要增加行控制(归属校验),即表中该订单记录关联的用户是张三时,张三才有权限。 垂直越权:如上述营业员查看财务信息。功能越权需从功能层面考虑,往往需要从接口层面限制,比如在Java程序种接口方法添加角色校验注解,程序处理注解检查当前登录用户是否具有相应的权限。 1.1
常见web漏洞
weixin_52526216的博客
05-31 4336
SQL注入漏洞 原理:网站对用户输入的数据没有经过严格的过滤导致带入到数据库中执行造成数据库信息泄露 注入类型: 按注入点类型: 数字型、字符型、搜索型; 按数据库类型: Access、MsSQL、MySQL、Oracle、DB2等; 按提交方式: GET、POST、Cookie、HTTP头、XFF; 按执行效果分:布尔盲注、时间盲注、报错注入、联合注入、堆叠查询注入; 数据库信息泄露/GetShell(Webshell)【SQLI-Labs】 XSS跨站脚本攻击 原理:攻击者在web
常见Web安全漏洞
Spontaneous_0的博客
03-17 1009
常见Web安全漏洞
常见WEB漏洞学习整理-XSS
06-11
常见WEB漏洞学习整理-XSS
常见Web安全漏洞与防御.pptx
11-07
非常好的一个ppt,对常见安全漏洞进行了整理,描述了各种安全漏洞的原理,并作举例说明,并给出了防御方案。 可用于培训讲座。 资料难得,共享给大家
web考试资料整理.rar
12-06
5. **Web漏洞分析**:常见Web漏洞的识别和利用,如SQL注入、命令注入、文件包含漏洞、路径遍历等,以及如何修复这些漏洞。 6. **OWASP十大安全威胁**:了解Open Web Application Security Project (OWASP)列出的...
业务安全漏洞整理.7z
02-24
1. **身份验证和授权漏洞**:这是最常见的业务安全问题之一。如果一个系统不能有效验证用户身份或控制权限,任何人都可能冒充其他用户,访问不应获得的信息或执行不应有的操作。例如,弱密码策略、会话管理不当、...
常见web安全漏洞
coderMonkey的博客
06-30 7082
一、暴力破解 1、概述 ​ “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略,导致
常见web安全漏洞_web漏洞
m0_61869253的博客
07-04 245
​ “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。
WEB漏洞概述
东方一华
03-27 1228
物理路径泄露:物理路径泄露一般是由于WEB服务器处理用户请求出错导致的,如通过提交一个超长的请求,或者是某个精心构造的特殊请求,亦或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点,那就是被请求的文件肯定属于CGI脚本,而不是静态HTML页面。还有一种情况,就是WEB服务器的某些显示环境变量的程序错误的输出了WEB服务器的物理路径,这应该算是设计上的问题。  CGI源代码泄露:
Web常见漏洞
m0_73720136的博客
04-13 292
web常见的一些漏洞以及原理,熟练掌握web漏洞原理对我们的学习很有帮助。一,信息泄露信息泄露是由于web服务器或应用程序没有正确处理一些特殊请求泄露web服务器的一些敏感信息,如用户名,密码,源代码,服务器信息配置信息等造成信息泄露主要三分原因:1,web服务器配置存在问题,导致一些系统文件或配置文件暴露在互联网中2,web服务器本身存在漏洞,在浏览器中输入一些特殊字符,可以访问未授权的文件或者动态脚本文件源码。
常见Web十大漏洞常见Web漏洞_十大常见web漏洞
04-12 467
外链图片转存中…(img-qEZL2snf-1712903207779)][外链图片转存中…(img-lq4TAbvR-1712903207780)][外链图片转存中…(img-C9goZVLm-1712903207780)][外链图片转存中…(img-KuApsE08-1712903207780)][外链图片转存中…(img-RHGrPomW-1712903207781)][外链图片转存中…(img-JjId05tZ-1712903207781)]
Web漏洞
u013795673的博客
09-08 1653
跨站脚本攻击漏洞 描述:目标存在跨站脚本攻击。 1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意 代码就会被执行。 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中 插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,
常见WEB漏洞
Somnus
04-07 351
目录 XSS(跨站脚本攻击) 概念 分类 存储型XSS 反射型XSS DOM型XSS XSS(跨站脚本攻击) 概念 黑客通过“HTML注入”篡改网页,插入恶意脚本,当用户浏览网页时,实现控制用户浏览器行为的一种攻击方式。 利用盗取用户的cookie,以正常用户身份来访问站点 分类 存储型XSS 原理 过程:黑客首先恶意构造XSS脚本并写入数据库中,用户打开浏览器...
web漏洞集合思维导图
08-07
web漏洞集合思维导图是一种图形化的工具,用于整理和展示与web漏洞相关的信息。它通过树形结构和节点连接的方式,将各个漏洞类型、子类型以及相关的注意事项、实例等有机地组合在一起。 首先,思维导图的中心节点通常以"Web漏洞"作为标题。从中心节点出发的分支节点包括一些常见漏洞类型,例如跨站脚本攻击(XSS)、SQL注入、跨站请求伪造(CSRF)、文件上传漏洞等。每个漏洞类型都可以再延伸出相应的子类型。例如,在XSS漏洞的分支下可以有反射型XSS、存储型XSS等子类型。 在每个漏洞类型的分支下,还可以继续添加与该漏洞相关的注意事项和防御方法。例如,在XSS漏洞下,注意事项可以包括输入检查、输出编码和CSP(内容安全策略)等。防御方法可以包括对输入进行过滤和验证、使用安全的输出编码方式等。此外,还可以通过案例分析或实例展示真实的漏洞情况,以加深理解。 除了漏洞类型和防御措施,思维导图也可以包括与web漏洞相关的其他主题,例如漏洞扫描工具、漏洞修复流程、漏洞利用技术等等。这些主题可以作为额外的分支节点,与主要的漏洞类型节点进行连接。 总之,web漏洞集合思维导图能够帮助我们系统地了解各种web漏洞类型、注意事项和防御方法,以及与之相关的其他主题。它不仅可以用于个人的学习和备忘,还可作为团队讨论和培训的工具,提高对web安全问题的认识和防范能力。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值