常见web安全漏洞和解决思路

最新推荐文章于 2024-07-25 16:45:00 发布
最新推荐文章于 2024-07-25 16:45:00 发布
阅读量369 收藏 7
点赞数 9
文章标签: web安全 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43103956/article/details/136068178
版权

一、常见安全漏洞

服务器类安全漏洞:     

        服务器含服务器软件类型较多,此次不再一一列举;

WEB访问类安全漏洞:     

        XSS漏洞检测 (key: xss)     

        SQL 注入检测 (key: sqldet)     

        命令/代码注入检测 (key: cmd-injection)     

        目录枚举 (key: dirscan)     

        路径穿越检测 (key: path-traversal)     

        XML 实体注入检测 (key: xxe)     

        文件上传检测 (key: upload)     

        弱口令检测 (key: brute-force)     

        jsonp 检测 (key: jsonp)     

        ssrf 检测 (key: ssrf)     

        基线检查 (key: baseline)     

        任意跳转检测 (key: redirect)     

        CRLF 注入 (key: crlf-injection)

二、常用工具

国内:

绿盟(WVSS): https://www.nsfocus.com.cn/html/2019/206_0911/8.html

安恒(明鉴): https://www.dbappsecurity.com.cn/show-63-38-1.html

知道创宇(websoc): https://scanv.yunaq.com/websoc/index.html

启明星辰(天镜): https://www.venustech.com.cn/article/type/1/253.html

奇安信(网神SecVSS 3600): https://www.qianxin.com/product/detail/pid/1

天融信: http://www.topsec.com.cn/product/63.html

长亭: https://www.chaitin.cn/zh/xray

国外:

AWVS: http://wvs.evsino.com/

Nessus: https://www.tenable.com/downloads/nessus

Appscan: https://ibm-security-appscan-standard.software.informer.com/8.7/

Netsparker: https://www.netsparker.com/

Webinspect: https://www.microfocus.com/

WebReaver: https://webreaver.com/

xray:扫描检测WEB访问类安全漏洞,有免费版可用,需要适当学习;

wvs:扫描检测WEB访问类安全漏洞,有破解版可用,需要自己破解和适当学习;

nessus:服务器类安全漏洞,有破解版可用,需要自己破解和适当学习;

三、xray使用总结

注意事项: xray会拦截经过代理的所有请求,然后模拟请求反复向服务器验证是否存在安全漏洞,对于增删改操作,会造成脏数据等问题,同时影响系统性能,所以尽可能在测试环境进行漏洞扫描,如果在生产环境扫描,须征得客户同意,选择非工作时间,做好数据库备份;

四、项目遇到的问题总结

五、过滤器(filter)解决CROS问题

Leo_Hu666
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Xray使用的一些经验分享(xray+burp的使用)
墨痕诉清风的博客
10-21 1万+
xray被动扫描器,是我目前个人挖洞过程中,感觉最好用的一款扫描器。这篇博客,分享一下我使用xray的一些小心得吧官方github。
Web漏洞利用与安全加固
m0_52231503的博客
04-25 562
漏洞利用 实训准备 安装部署phpStudy+DVWA漏洞演练平台 一、 密码登录绕过 1、打开Brute Force界面,测试登陆框是否存在注入,提交敏感字符测试程序是否报错。在登录界面上输入用户名admin’(使用敏感字符‘)。 2、仔细观察登录系统时地址栏中的sql语句,在用户名密码提交界面上通过注入逻辑语句使登录判断失效,进入受保护页面。admin’ or 1=1 --’ 二、 命令注入 1、打开Command Injection界面,在该界面提供一个命令行执行环境,输入ip地址返回ping命令的结
Web安全测试中常见逻辑漏洞解析
02-25
很多中小型的购物网站都存在这个漏洞。在提交订单的时候抓取数据包或者直接修改前端代码,然后对订单的金额任意修改。如下图所示:经常见到的参数大多为关于支付的逻辑漏洞这一块还有很多种思路,比如相同价格增加订单数量,相同订单数量减少产品价格,订单价格设定为负数等等。1.订单需要多重效验,如下图所演示。2.订单数值较大时需要人工审核订单信息,如下图所演示。3.我只是提到两个非常简单的预防思路,第二个甚至还有一些不足之处。这里需要根据业务环境的不同总结出自己的预防方式,最好咨询专门的网络安全公司。这个漏洞主要是发生在前端验证处,并且经常发生的位置在于验证码主要发送途径其运行机制如下图所示:黑客只需要抓取R
常见Web十大漏洞,常见Web漏洞
qq_22792465的博客
07-27 6503
参考:https://blog.csdn.net/weixin_43376075/article/details/105189017https://blog.csdn.net/qq_43168364/article/details/105595532https://www.cnblogs.com/-qing-/p/10819069.html代码执行函数:1- eval()#传入的参数必须为PHP代码,既需要以分号结尾。比如从指定URL地址获取网页文本内容,加载指 定地址的图片,下载等等。
5种常用Web安全扫描工具,快来查漏补缺吧!_商业软件 web应用漏洞扫描工具 排行榜
2401_84247760的博客
05-07 940
其中包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。Goby是一款新的网络安全测试工具,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速地从一个验证入口点,切换到横向。我们希望能够输出更具生命力的工具,能够对标黑客的实际能力,帮助企业来有效地理解和应对网络攻击。
渗透测试工具之——WVSS(绿盟web应用漏洞扫描系统)概述
温柔小薛的博客
03-30 7665
WVSS 绿盟web应用漏洞扫描系统 (这个没有资源,我木有进行实际操作,这里只是简单的概述) 有硬件与软件,硬件接在交换机上 使用 新建任务 模板根据自己的需要选择 web认证 需要登陆扫描时选择 件模板 比较特别的是web系统组件漏洞,很大一部分扫描软件没法测中间件漏洞 绿盟科技模板组 适合国内检测 W...
Xray使用的一些经验分享
热门推荐
Sp4rkW的博客
04-21 1万+
前言 xray被动扫描器,是我目前个人挖洞过程中,感觉最好用的一款扫描器。这篇博客,分享一下我使用xray的一些小心得吧 官方github: https://github.com/chaitin/xray 官网文档: https://xray.cool/ xray+burp的使用 普通使用配置 浏览器配置好burp(包括证书等等,略) chrome件 SwitchyOmega ...
主流WEB漏洞扫描器种类及其指纹特征分析
dzqxwzoe的博客
11-14 284
通常在企业,如果企业内部有自己的漏洞扫描器,则用企业内部提供的,如果没有,我们都是选用两款比较好用、主流的WEB漏洞扫描器进行漏洞扫描,完成扫描后生成报告对比并合并,系统也一样。注:以上WEB漏洞扫描器产品中,有收费的,也有免费的,国内的大部分都是收费的,除了长亭的X-ray,但是长亭的Xray高级版一样是收费的,其开放的是社区版,而我们日常渗透中常用的WEB漏洞扫描器可能就是AWVS、Nessus、APPScan这三款。其实随着经验的增长,我也越来越少用漏洞扫描器了,刚入门那非常依赖它的。
常用Web安全扫描工具合集
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
08-24 175
漏洞扫描是一种安全检测行为,更是一类重要的网络安全技术,它能够有效提高网络安全性,而且漏洞扫描属于主动的防范措施,可以很好地避免黑客攻击行为,做到防患于未然。那么好用的漏洞扫描工具有哪些?
常见Web安全漏洞及其防御
10-24 1436
常见Web安全漏洞及其防御 1.1 XSS攻击 1.1.1 什么是XSS攻击手段 XSS攻击其实就是使用Javascript脚本注入进行攻击,因为浏览器默认支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数,浏览器可能就直接执行了 攻击常见与论坛的评论 例如“提交表单后,展示到另一个页面”这个功能,可能受到XSS脚本注入,本地cookie被读取,远程发送给黑客服务器端,然后可以伪造来发起请...
Web安全测试中常见逻辑漏洞解析(实战篇)
02-26
相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。今天漏洞盒子安全...
教程分享Web安全基础入门
03-17
Web安全基础入门是网络安全领域的重要组成部分,主要关注的是在Web应用程序和服务器中发现并防止潜在的安全威胁。这个教程旨在帮助初学者了解Web安全的基本概念,包括信息收集、漏洞检测以及渗透测试的基础知识。 1...
网络安全之初始访问阶段攻防手段(三)
子非渔
07-25 995
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
微软蓝屏事件:网络安全的多维挑战与应对策略
sinner小屋
07-23 786
微软蓝屏事件,这一近期震动全球科技界的重大事件,起因于一次看似平常的软件更新。美国电脑安全技术公司“众击”发布的更新包中隐藏着一个致命的“缺陷”,这个缺陷如同潜伏的病毒,一旦被激活,便在全球范围内引发了连锁反应。近850万台设备,从个人电脑到关键行业的服务器,无一幸免地遭遇了系统崩溃,屏幕上只剩下一片冰冷的蓝色。这一事件不仅影响了日常办公,更是波及了航空、医疗、传媒等关键领域,造成了航班延误、医疗服务中断、信息传播受阻等一系列严重后果。
网络安全相关竞赛比赛
黑战士的博客
07-18 1078
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
中小企业常见网络安全问题及防范措施
w651428055的博客
07-22 714
在当今数字化时代,Web应用程序已经成为企业与用户互动的主要平台,但随之而来的是日益复杂的网络安全威胁。为了保护Web应用程序免受各种攻击,Web应用程序防火墙(WAF)应运而生。本文将深入探讨WAF的概念、工作原理、分类、特点以及如何选择和部署WAF,帮助读者更全面地理解WAF在网络安全中的重要作用。
网络安全之不同阶段攻防手段(四)
子非渔
07-25 326
前面已经说过信息收集、扫描探测以及初始访问阶段的攻防手段,下面将说一下在攻击者获取到访问权限的情况下接着如何进一步在网络中建立控制点、提权、横移以及完成攻击后的遗迹隐藏
网络安全-用脚本调用系统snmpwalk命令查询并邮件报警
PanDD_0_1的博客
07-23 323
【代码】网络安全-用脚本调用系统snmpwalk命令查询并邮件报警。
网络安全入门教程(非常详细)从零基础入门到精通_网路安全 教程
最新发布
2401_85023708的博客
07-25 1965
1.入行网络安全这是一条坚持的道路,三分钟的热情可以放弃往下看了。2.多练多想,不要离开了教程什么都不会了,最好看完教程自己独立完成技术方面的开发。3.有时多百度,我们往往都遇不到好心的大神,谁无聊天天给你做解答。4.遇到实在搞不懂的,可以先放放,以后再来解决。先科普划分一下级别(全部按小白基础,写个表格word就行的这种)**1级:脚本小子;难度:无,**达到“黑客新闻”的部分水准(一分钱买iphone、黑掉母校官网挂女神照片什么的)网络安全工程师;
理解Web安全:白帽子的视角
1. **Web安全基础**:介绍Web应用的基本架构和工作原理,讲解如何通过理解这些基础知识来识别和预防安全漏洞。 2. **攻击技术解析**:详细阐述常见Web攻击手段,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值