常见WEB漏洞

最新推荐文章于 2024-06-09 18:00:00 发布
最新推荐文章于 2024-06-09 18:00:00 发布
阅读量343 收藏
点赞数
分类专栏: 安全测试 文章标签: XSS WEB漏洞 安全测试 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013241951/article/details/89060703
版权

目录

 

XSS(跨站脚本攻击)

概念

分类

存储型XSS

反射型XSS

DOM型XSS

XSS(跨站脚本攻击)

概念

黑客通过“HTML注入”篡改网页,插入恶意脚本,当用户浏览网页时,实现控制用户浏览器行为的一种攻击方式。   利用盗取用户的cookie,以正常用户身份来访问站点

分类

存储型XSS

原理

过程:黑客首先恶意构造XSS脚本并写入数据库中,用户打开浏览器,访问嵌入了XSS脚本的页面,浏览器向后端WEB应用程序请求内容,页面中的留言是存储在数据库中,所以会查询数据库,数据库会将携带XSS脚本的留言给用户,最终展现在用户浏览器触发XSS。

反射型XSS

主动访问携带XSS脚本的链接触发XSS。XSS脚本包含在URL的参数中

原理:获取参数,直接输出到客户端,触发XSS

过程:用户访问携带XSS脚本的链接,浏览器向后端WEB程序发送请求,后端程序将URL中的XSS脚本数据写入响应页面并返回给浏览器,浏览器渲染响应页面触发XSS。

DOM型XSS

主动访问携带XSS脚本的链接。XSS脚本包含在URL的hash中,#号分割符,URL中的hash不会发送到后端服务器的

原理:从URL的hash中取出值然后赋值给errorMsg ,然后将errorMsg用URL编码进行解码,在以一定的HTML形式写入id为errorMsg的DOM中

过程:用户在浏览器中访问带有XSS脚本的链接,浏览器通过JS从URL提取出XSS脚本内容,并写入到DOM中触发XSS

 

hqq11
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见WEB漏洞简介
qq_49841288的博客
07-23 4601
♥这里就是菜咩总结了一些常见web漏洞一点点学习啦♥SQL注入、文件上传、XSS跨站、文件包含、反序列化、代码执行、逻辑安全、未授权访问CSRF、SSRF、目录遍历、文件读取、文件下载、命令执行、XXE漏洞可以获取到网站数据库里面的权限、数据。有的漏洞可以直接获取想要的东西,有的则是间接获取大部分的网站和应用系统都有上传功能,而程序员在开发文件上传功能时,并未考虑文件格式后缀的合法性校验或者是否只在前端通过js进行后缀检验。从而直接获取网站权限。 webshell:是web和shell两者的集合,可以理解
Web常见安全漏洞
cwb_真水无香
04-15 8793
1 越权漏洞 越权指主体逾越权限访问资源。比如用户张三取消了用户李四的外卖订单、商户营业员查看了财务信息(假定角色营业员没有财务权限)。 越权的分类: 水平越权:如上述张三取消李四外卖订单。数据越权需从数据层面考虑,映射到关系数据库中的表,应该需要增加行控制(归属校验),即表中该订单记录关联的用户是张三时,张三才有权限。 垂直越权:如上述营业员查看财务信息。功能越权需从功能层面考虑,往往需要从接口层面限制,比如在Java程序种接口方法添加角色校验注解,程序处理注解检查当前登录用户是否具有相应的权限。 1.1
网站10大常见安全漏洞及解决方案
最新发布
ZL_1618的博客
06-09 856
一般来说牛逼点的地方都会通过安全设备来确保网络环境的安全,所以之前我们也都认为程序员不需要过多的考虑网站安全问题。实际上随着做了几个事业单位的网站之后,也逐渐发现有些方面还是需要程序员注意的。几乎每一个网站后台开发人员都听到的一个词,并且都很敏感,但是不知道是什么原因造成的很多程序员却在实际开发过程中经常忽视这个问题。前段时间部门一位新同事,据说是5年工作经验,在对他的代码做评审时,我们发现所有的DAO层实现都是直接拼接SQL和参数,总监多次提醒他这个问题,但他也没有发现,直到总监说出SQL注入这个词。
网站安全漏洞大全
qq_63431773的博客
11-22 339
常见漏洞有:SQL 注入、越权操作、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、DDoS 攻击、JSON 劫持、暴力破解、HTTP 报头追踪漏洞、信息泄露、文件上传格式校验。
Web安全常见漏洞原理、危害及其修复建议
wangluoanquan111的博客
06-19 1298
(当文件上传时,如果服务端的脚本语言没有对上传的文件进行检查和过滤,那假如,渗透者直接上传恶意代码文件,那么就有可能直接控制整个网站,或者说以此为跳板,直接拿下服务器,这就是文件上传漏洞。②csrf攻击之所以能成功,是因为攻击者伪造用户的请求,所以抵御csrf的关键在于:在请求中放入攻击者不能伪造的请求,例如,可以在HTTP请求中加入一个随机产生的token,并在服务器端验证token,如果请求中没有token或者token内容不正确,则认为请求可能是csrf攻击,从而拒绝该请求。
常见Web安全漏洞深入解析
大河之犬的博客
10-19 4242
在存在可跨站脚本攻击安全漏洞Web应用上执行上面这段JavaScript程序,即可访问到该Web应用所处域名下的Cookie信息。Web应用中的邮件发送功能,攻击者通过向邮件首部To或Subject内任意添加非法内容发起的攻击。并排插入字符串后发送。利用这两个连续的换行就可作出HTTP首部与主体分隔所需的空行了,这样就能显示伪造的主体,达到攻击目的。远程文件包含漏洞是指当部分脚本内容需要从其他文件读入时,攻击者利用指定外部服务器的URL充当依赖文件,让脚本读取之后,就可运行任意脚本的一种攻击。
识别常见Web漏洞有效防止入侵[1]
03-23
漏洞识别常见Web漏洞有效防止入侵[1]软件测试在Internet大众化及Web技术飞速演变的今天,在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升,以及基子Web的攻击和破坏的增长,安全风险达到了...
识别常见Web漏洞有效防止入侵[3]
03-23
漏洞识别常见Web漏洞有效防止入侵[3]软件测试直接访问浏览直接访问浏览指直接访问应该需要验证的网页。没有正确配置的Web应用程序可以让恶意的用户直接访问包括有敏感信息的URL或者使提供收费网页的公司丧失收入。...
识别常见Web漏洞有效防止入侵[2]
03-23
漏洞识别常见Web漏洞有效防止入侵[2]软件测试后门和调试漏洞开发人员常常建立一些后门并依靠调试来排除应用程序的故障。在开发过程中这样做可以,但这些安全漏洞经常被留在一些放在Internet上的最终应用中。一些常见...
常见WEB漏洞原理分析及防护
08-22
常见 WEB 漏洞原理分析及防护 在当今互联网时代,Web 应用程序已经融入到日常生活中的各个方面,如网上购物、网络银行应用、证券股票交易、政府行政审批等等。然而,Web 应用程序的安全问题却层出不穷。本文将对...
Web中间件常见漏洞总结.pdf
06-14
Web中间件常见漏洞总结
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
常见web安全漏洞介绍
xunyunai9767的博客
11-16 2648
介绍常见web漏洞,参考OWASP top10漏洞,pikachu靶场
WEB安全】常见WEB漏洞
热门推荐
12-02 2万+
    欢迎关注公众号: ----------------------------------------------正文----------------------------------------------------     Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用,Web应用已经融入到日常生活中的各个方面:网上购物...
常见Web应用的漏洞总结(原理、危害、防御)
空心菜的博客
04-15 1万+
一、 SQL注入(SQL Inject)[OWASP TOP1 2017]: 二、 XSS(Cross-site Script)[OWASP TOP7 2017] 三、 上传漏洞 四、 文件解析漏洞 五、 CSRF(Cross-Site Request Forgery) 六、 DDos攻击 分布式拒绝服务(Distributed Denial of service Attack) ...
常见WEB漏洞问题危害及修复建议
thatqier
10-11 5899
漏洞检测工具用语说明 一,高危漏洞 高危漏洞包括SQL注入漏洞XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞。 SQL注入漏洞:网站程序忽略了对输入字符串中包含的SQL语句的检查,使得包含的SQL语句被数据库误认为是合法的SQL指令而运行,导致数据库中各种敏感数据被盗取、更改或删除。 XSS跨站脚
开山-web安全基础(1)常见web漏洞解析
theFlyer
05-07 1086
欢迎来到theFlyer的博客—希望你有不一样的感悟 前言:第一次使用markdown,文章里面可能有各种尝试,看官见谅。web安全基础需要各位看官有一定html/js/php等基础知识(我也是萌新),知识多而杂,需要多看多动手。 目录 欢迎来到theFlyer的博客—希望你有不一样的感悟 目录 XSS CSFR 点击劫持 URL跳转 SQL注入 命令注入 文件操作漏洞 ...
web常见漏洞
阿布哥的读书笔记
04-20 1214
11年江湖11年情 很久没有来这里写写东西、发发牢骚了,
命令注入_常见web漏洞——系统命令注入
06-13
系统命令注入是一种常见Web漏洞,攻击者可以利用该漏洞向服务器发送恶意命令,从而获取服务器的敏感信息或者对服务器进行恶意操作。攻击者通常通过用户输入的参数或者表单提交等方式向服务器发送恶意命令,服务器在执行命令时没有对输入进行合法性校验,从而导致漏洞的产生。为了防止系统命令注入漏洞,开发人员需要对用户输入进行严格的合法性校验,并使用安全的方式执行系统命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值