Web安全相关概念

最新推荐文章于 2023-04-19 17:32:58 发布
最新推荐文章于 2023-04-19 17:32:58 发布
阅读量127 收藏
点赞数
文章标签: web安全 php 数据库
原文链接:http://www.cnblogs.com/xiaolangjun/p/6624013.html
版权

基本概念:

SQL注入:在与数据库交互的地方,加入SQL语句来获得数据库信息,绕过某些登录,执行系统命令等的操作

  例如:利用万能密码登录后台,添加用户,执行系统命令,获取密码等

上传:对用户上传文件类型判断失误,导致上传攻击者的脚本文件,从而对网站进行攻击

  上传需要绕过:1.客户端js脚本检测:刚选中文件就弹出"文件不合法"等提示(先把后缀一改,上传的时候,抓包更改为原后缀)

           2.服务端的脚本的检测:查看文件后缀,查看文件MIME类型(解决:Burp Suit抓包更改)

            解决:(通过解析漏洞)IIS 6:1.asp;1.jpg

                       IIS 7:正常上传图片文件,在URL最后面加上/1.php

                       Apache:一般支持php的,当后缀不是服务器识别的,就会向前查询一个可识别后缀1.php.xxx

                       IIS畸形文件:将文件名存为.php格式,存放如正常文件

         3.还有一些更变态的就是进行二次渲染,例如上传头像,他让你移动选框,选择部分头像进行上传

XSS(cross site script):对URL,留言板等一些允许用户输入的地方没有严格进行输入控制,可能会造成js脚本的运行

  分类:反射型XSS,储存型XSS或者DOM型和非DOM型

    DOM型XSS:DOM是html对其元素的添加,删除等动态控制,如果在一些标签内部输入是可控的,就可能造成xss。例如:

       $('xx').innerHTML='<a>xxxxxxxxx</a>';中的xxxxxxxxxxxx可控的话,进行相关修改,</a><img src=1 οnerrοr=alert(1)>执行的话,就会出现xss

CSRF(cross site script forge):依赖浏览器,被混淆的代理人攻击:例如:攻击者在社交论坛上上传一张图片,源确是一条注销登录的URL,任何用户浏览器加载这个图片的                    时候,都会进行注销操作

一句话木马:通过一句简单的代码,就可以进行对服务器的连接

 

渗透过程:信息收集===>漏洞扫描===>测试漏洞===>实施攻击===>挂马,提权===>删除痕迹(日志文件)

转载于:https://www.cnblogs.com/xiaolangjun/p/6624013.html

weixin_34273046
关注
web渗透--43--文件上传漏洞
武天旭的博客
09-21 4465
1、漏洞描述: 文件上传漏洞,直面意思可以利用WEB上传一些特定的文件。一般情况下文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。文件上传本身是web中最为常见的一种功能需求,关键是文件上传之后服务器端的处理、解释文件的过程是否安全。一般的情况有: 1、上传Web脚本语言,服务器的WEB容器解释并执行了用户上传的脚本,导致代码执行。 2、上传Flash...
2022年零基础自学网络安全/Web安全,看这一篇就够了
欢迎来到技术宅的博客
03-09 4534
随手写写关于web安全的内容,希望对初次遇到web安全问题的同学提供帮助。
web安全相关概念
Shock_的博客
04-09 1048
大家学习时,应该都听过sql注入,上传,xss攻击,csrf,一句话木马等,写这个也是为了让我更好的去学习,现在的还是个小白,当个笔记来写的;刚开始应该熟悉一些关键词就上面说的,我对csrf是挺陌生的,于是就先查了查cstf; CSRF:(Cross-site request forgery)跨站请求伪造,听着和xss差不多,但我在百度中查到的是他们两个是不同的;
Web 安全概念
afk46847的博客
07-27 310
Web 安全概念 Web 应用中存在很多安全风险,这些风险会被黑客利用,轻则篡改网页内容,重则窃取网站内部数据,更为严重的则是在网页中植入恶意代码,使得用户受到侵害。常见的安全漏洞如下: XSS 攻击:对 Web 页面注入脚本,使用 JavaScript 窃取用户信息,诱导用户操作。 CSRF 攻击:伪造用户请求向网站发起恶意请求。 钓鱼攻击:利用网站的跳转链接或者图片制造钓鱼陷阱。 ...
Web安全基本概念
weixin_43994244的博客
03-04 7303
域名 什么是域名? 域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 例:www.baidu.com DNS 什么是 DNS? 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过2
Web安全工程师——1.1 网络安全相关概念的了解
qq_37763130的博客
05-05 514
1 SQL注入:SQL是什么:SQL 是一门 ANSI 的标准计算机语言,用来访问和操作数据库系统,而SQL 语句用于取回和更新数据库中的数据。什么是SQL注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。(百度)2  上传:根据我的理解,上传就是在网页上,有许多提供用户上传文件的表单,通过在这些上传文件中添加恶意的代码从而达到...
Web3.0概念下的场景生态简析.pdf
04-14
Web3.0概念的实现需要相关技术、产业、用户认知、法律法规的推动及适配。 Web3.0概念下的场景生态简析是指下一代互联网的发展方向,旨在解决用户与用户之间的信息互动、提升信息的传递效率、实现信息交互过程中的...
白帽子讲web安全_WEB安全_
09-29
《白帽子讲Web安全》这本书将详细讲解这些概念,提供实例解析,帮助读者理解Web安全的实际威胁,学习防范策略,提升网络安全防护技能。无论你是开发者、系统管理员还是网络安全爱好者,都能从中受益匪浅。
WEB安全入门基础.pptx
08-24
WEB 安全入门基础概念包括 WEB 安全的定义、WEB 安全的重要性、WEB 安全的基本概念等。了解这些概念可以帮助我们更好地理解 WEB 安全的基本概念。 本资源摘要信息涵盖了 WEB 安全入门基础的各个方面,包括 HTTP ...
WEB安全基础入门-概念名词
tjz991129的博客
01-09 2551
本文章主要对WEB安全的基本入门做一个系统的概述及基本认识! 1、域名 域名即与IP地址一一对应的名称,网上有多个注册域名的网站如万网注册域名。 在域名中www.为顶级域名,其后为多级域名,在WEB安全中对多级域名的收集尤为重要,因为在打开一个网站的主网页时可能并不能发现什么漏洞,但是对它子域名所在的网页渗透时就可能存在漏洞,并且可能对整个网站也造成影响。简单来说,对多级域名的收集就是让你在渗透时有了更多的看可能。 2、DNS域名系统服务协议 DNS主要就是用于确定域名与IP之间一一对应的关系。 在这
web安全相关名词解析
qq_43238111的博客
05-17 342
Web安全—渗透测试相关名词解释 1.什么叫渗透测试? 渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络安全的一种评估方法。 2.相关名词解释 (1) 脚本类型(后附学习网站): #asp:https://www.runoob.com/asp/asp-tutorial.html #php:https://www.runoob.com/php/php-tutorial.html #jsp:https://www.runoob.com/jsp/jsp-tutorial.html #a
web安全是什么?主要分为哪几部分?
bdfcfff77fa的博客
03-23 2688
随着web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在web平台上,web业务的迅速发展也引起黑客们的强烈关注,接踵而来的就是web安全威胁的凸显。黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对web应用安全的关注度也逐渐升温。
什么是Web安全?Web安全又分为哪几个部分?Web安全又该如何学习?
最新发布
BlueSocks152的博客
04-19 1238
网络安全是一个非常庞大的体系,范围非常之大,被分为很多种类型,web安全就是其中之一,也是网络安全技术中非常重要的领域。那么web安全是什么?主要分为哪几部分?以下是详细的内容介绍。
用Squid实现反向代理
龙宇网的专栏
12-10 1258
背景介绍: 代理服务器是使用非常普遍的一种将局域网主机联入互联网的一种方式,使用代理上网可以节约紧缺的IP地址资源,而且可以阻断外部主机对内部主机的访问,使内部网主机免受外部网主机的攻击。但是,如果想让互联网上的主机访问内部网的主机资源(例如:Web站点),又想使内部网主机免受外部网主机攻击,一般的代理服务是不能实现的,需要使用反向代理来实现。 本文将详细介绍反向代理服务的概念以及如
一文读懂 Web 安全
u011192674的博客
07-28 904
Web 安全是互联网中不可或缺的一个领域,这个领域中诞生了大量的黑帽子与白帽子,他们都是安全领域的王者,在平时里,他们利用各种巧妙的技术互相博弈,时不时就会掀起一场 Web 安全浪潮,真可谓神仙打架,各显神通。 本文从一个吃瓜群众的角度,聊一聊 Web 安全的一些有趣故事。 安全世界观 安全攻防案例 总结与思考 安全世界观 在互联网发展之初,IE 浏览器垄断的时期,大家上网的目的都很单纯,主要通过浏览器分享信息,获取新闻。但随着互联网的不断发展发展,一个网页能做的事情越来越多,除了看新闻,我们还可以看视
漏洞 立即留言_ASPCMS留言板漏洞注入一句话木马插入数据库及修复方法
weixin_39931923的博客
12-19 1308
aspcms主要是信息发布系统,影响版本为asp。漏洞成因,在留言板处对信息处理不当,导致代码注入。可直接将一句话木马插入数据库数据库默认配置为asp.目录在/data/data.asp下。利用方法,保证默认数据库路径末更改及可留言,就算不能留言,可构造,经测试,基本上末更改aspcms主要是信息发布系统,影响版本为asp。漏洞成因,在留言板处对信息处理不当,导致代码注入。可直接将一句话木马插入...
常见web安全问题概念介绍以及防御方法
翾的博客
06-30 1290
XSS ( 跨站脚本攻击 ) 定义: 通过恶意攻击者往WEB页面插入恶意JS代码, 当用户浏览, 嵌入的代码会被执行, 达到恶意攻击用户控制浏览器的目的. xss是代码注入的一种. 分类 反射型 攻击者将跨站代码写在链接中, 受害者请求这种连接时, 跨站代码经过服务端反射回来触发, 此类代码不会存储到服务端. 存储型 攻击者将恶意数据存储到服务端的数据库中, 服务器脚本从数据库中获取该...
Web安全概述
木可大大
03-08 5762
互联网刚开始是安全的,但是伴随着黑客(Hacker)的诞生,互联网变得越来越不安全。任何一个事情都有两面性,黑客也有好有坏,好的黑客叫白帽子,坏的黑客叫黑帽子。与此同时,随着Web技术发展越来越成熟,而非Web服务(如Windows操作系统)越来越少的暴露在互联网上,现在互联网安全主要指的是Web安全。既然要讲Web安全,首先介绍什么是安全安全的本质是什么?引用《白帽子讲安全》里对安全的定义:安...
WEB安全深度解析:从概念到实战
"WEB安全世界旅行手册是一本全面讲解Web安全的指南,适合安全新手和有经验的专业人士阅读。该手册由安全工程师孙卓编撰,涵盖了从基础概念到高级技术的各种安全议题。书中通过各种案例分析了安全漏洞的本质,如未...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值