常见web安全漏洞和解决思路

最新推荐文章于 2024-07-24 15:20:08 发布
最新推荐文章于 2024-07-24 15:20:08 发布
阅读量369 收藏 7
点赞数 9
文章标签: web安全 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43103956/article/details/136068178
版权

一、常见安全漏洞

服务器类安全漏洞:     

        服务器含服务器软件类型较多,此次不再一一列举;

WEB访问类安全漏洞:     

        XSS漏洞检测 (key: xss)     

        SQL 注入检测 (key: sqldet)     

        命令/代码注入检测 (key: cmd-injection)     

        目录枚举 (key: dirscan)     

        路径穿越检测 (key: path-traversal)     

        XML 实体注入检测 (key: xxe)     

        文件上传检测 (key: upload)     

        弱口令检测 (key: brute-force)     

        jsonp 检测 (key: jsonp)     

        ssrf 检测 (key: ssrf)     

        基线检查 (key: baseline)     

        任意跳转检测 (key: redirect)     

        CRLF 注入 (key: crlf-injection)

二、常用工具

国内:

绿盟(WVSS): https://www.nsfocus.com.cn/html/2019/206_0911/8.html

安恒(明鉴): https://www.dbappsecurity.com.cn/show-63-38-1.html

知道创宇(websoc): https://scanv.yunaq.com/websoc/index.html

启明星辰(天镜): https://www.venustech.com.cn/article/type/1/253.html

奇安信(网神SecVSS 3600): https://www.qianxin.com/product/detail/pid/1

天融信: http://www.topsec.com.cn/product/63.html

长亭: https://www.chaitin.cn/zh/xray

国外:

AWVS: http://wvs.evsino.com/

Nessus: https://www.tenable.com/downloads/nessus

Appscan: https://ibm-security-appscan-standard.software.informer.com/8.7/

Netsparker: https://www.netsparker.com/

Webinspect: https://www.microfocus.com/

WebReaver: https://webreaver.com/

xray:扫描检测WEB访问类安全漏洞,有免费版可用,需要适当学习;

wvs:扫描检测WEB访问类安全漏洞,有破解版可用,需要自己破解和适当学习;

nessus:服务器类安全漏洞,有破解版可用,需要自己破解和适当学习;

三、xray使用总结

注意事项: xray会拦截经过代理的所有请求,然后模拟请求反复向服务器验证是否存在安全漏洞,对于增删改操作,会造成脏数据等问题,同时影响系统性能,所以尽可能在测试环境进行漏洞扫描,如果在生产环境扫描,须征得客户同意,选择非工作时间,做好数据库备份;

四、项目遇到的问题总结

五、过滤器(filter)解决CROS问题

Leo_Hu666
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全测试中常见逻辑漏洞解析
02-25
很多中小型的购物网站都存在这个漏洞。在提交订单的时候抓取数据包或者直接修改前端代码,然后对订单的金额任意修改。如下图所示:经常见到的参数大多为关于支付的逻辑漏洞这一块还有很多种思路,比如相同价格增加订单数量,相同订单数量减少产品价格,订单价格设定为负数等等。1.订单需要多重效验,如下图所演示。2.订单数值较大时需要人工审核订单信息,如下图所演示。3.我只是提到两个非常简单的预防思路,第二个甚至还有一些不足之处。这里需要根据业务环境的不同总结出自己的预防方式,最好咨询专门的网络安全公司。这个漏洞主要是发生在前端验证处,并且经常发生的位置在于验证码主要发送途径其运行机制如下图所示:黑客只需要抓取R
常见Web十大漏洞,常见Web漏洞
qq_22792465的博客
07-27 6464
参考:https://blog.csdn.net/weixin_43376075/article/details/105189017https://blog.csdn.net/qq_43168364/article/details/105595532https://www.cnblogs.com/-qing-/p/10819069.html代码执行函数:1- eval()#传入的参数必须为PHP代码,既需要以分号结尾。比如从指定URL地址获取网页文本内容,加载指 定地址的图片,下载等等。
5种常用Web安全扫描工具,快来查漏补缺吧!_商业软件 web应用漏洞扫描工具 排行榜
2401_84247760的博客
05-07 936
其中包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。Goby是一款新的网络安全测试工具,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速地从一个验证入口点,切换到横向。我们希望能够输出更具生命力的工具,能够对标黑客的实际能力,帮助企业来有效地理解和应对网络攻击。
渗透测试工具之——WVSS(绿盟web应用漏洞扫描系统)概述
温柔小薛的博客
03-30 7658
WVSS 绿盟web应用漏洞扫描系统 (这个没有资源,我木有进行实际操作,这里只是简单的概述) 有硬件与软件,硬件接在交换机上 使用 新建任务 模板根据自己的需要选择 web认证 需要登陆扫描时选择 件模板 比较特别的是web系统组件漏洞,很大一部分扫描软件没法测中间件漏洞 绿盟科技模板组 适合国内检测 W...
Xray使用的一些经验分享
热门推荐
Sp4rkW的博客
04-21 1万+
前言 xray被动扫描器,是我目前个人挖洞过程中,感觉最好用的一款扫描器。这篇博客,分享一下我使用xray的一些小心得吧 官方github: https://github.com/chaitin/xray 官网文档: https://xray.cool/ xray+burp的使用 普通使用配置 浏览器配置好burp(包括证书等等,略) chrome件 SwitchyOmega ...
常用Web安全扫描工具合集
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
08-24 174
漏洞扫描是一种安全检测行为,更是一类重要的网络安全技术,它能够有效提高网络安全性,而且漏洞扫描属于主动的防范措施,可以很好地避免黑客攻击行为,做到防患于未然。那么好用的漏洞扫描工具有哪些?
主流WEB漏洞扫描器种类及其指纹特征分析
dzqxwzoe的博客
11-14 281
通常在企业,如果企业内部有自己的漏洞扫描器,则用企业内部提供的,如果没有,我们都是选用两款比较好用、主流的WEB漏洞扫描器进行漏洞扫描,完成扫描后生成报告对比并合并,系统也一样。注:以上WEB漏洞扫描器产品中,有收费的,也有免费的,国内的大部分都是收费的,除了长亭的X-ray,但是长亭的Xray高级版一样是收费的,其开放的是社区版,而我们日常渗透中常用的WEB漏洞扫描器可能就是AWVS、Nessus、APPScan这三款。其实随着经验的增长,我也越来越少用漏洞扫描器了,刚入门那非常依赖它的。
Xray使用的一些经验分享(xray+burp的使用)
墨痕诉清风的博客
10-21 1万+
xray被动扫描器,是我目前个人挖洞过程中,感觉最好用的一款扫描器。这篇博客,分享一下我使用xray的一些小心得吧官方github。
Web安全测试中常见逻辑漏洞解析(实战篇)
02-26
相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。今天漏洞盒子安全...
教程分享Web安全基础入门
03-17
Web安全基础入门是网络安全领域的重要组成部分,主要关注的是在Web应用程序和服务器中发现并防止潜在的安全威胁。这个教程旨在帮助初学者了解Web安全的基本概念,包括信息收集、漏洞检测以及渗透测试的基础知识。 1...
微软蓝屏”事件暴露了网络安全哪些问题?
2301_79339087的博客
07-23 1458
微软蓝屏事件不仅暴露了软件更新中的问题,更是一次对全球网络安全和系统稳定性的严峻考验。通过加强风险管理、质量控制、冗余设计和应急响应,我们可以在未来减少类似事件的发生,提高整体网络安全水平。各行业应加强合作,信息共享,共同提升应对重大系统故障的能力,构建更加稳固和安全网络环境。在未来,我们需要更加关注软件更新过程中的风险管理和质量控制,通过引入更多的自动化工具和流程,提高测试的覆盖率和效率,确保软件的安全性和稳定性。
网络安全-华为华三交换机防火墙日志解析示例
PanDD_0_1的博客
07-23 345
华为交换机日志解析示例。
网站验证:确保网络安全与信任的重要步骤
07-22 311
在数字时代,网站验证是确保网络安全和建立用户信任的关键措施。随着网络诈骗和恶意软件的日益增多,验证网站的真实性和安全性变得尤为重要。本文将探讨网站验证的重要性、常见的验证方法以及如何通过验证提升用户体验和网站信誉。
“微软蓝屏”事件暴露了网络安全哪些问题?
csdn_aspnet的专栏
07-23 1224
这次由微软系统软件更新引发的“微软蓝屏”事件,无疑是对全球IT基础设施韧性与安全性的重大考验。850万台设备的故障,以及对航空、医疗和传媒等关键行业的广泛影响,再次突显出我们在网络安全和系统稳定性方面的脆弱性。一、问题解析1、更新管理的复杂性:随着技术的不断进步,软件更新的复杂性也在增加。大型系统中,需要兼顾各种硬件、软件和环境,确保更新不会引发兼容性问题,而这往往十分困难。2、供应链风险:如这次事件所示,一个小小的缺陷就可能通过供应链扩散,造成全球性影响。
网络安全常见错误及解决办法(更新中)
qq_42041946的博客
07-22 499
设置一下wwwtest访问权限做负载均衡使用火狐浏览器访问一直访问一个页面,使用谷歌就正常两个也轮换,是火狐浏览器的问题在nginx的配置文件里改站点根目录,但是网页报了403 Forbidden,重安装了个centos也不行强制刷新过了,改回相对路径html才可以。答:403就是没有权限 再/web这个文件夹下chown -R nginx:nginx .(如果不行就看看你的selinux 有没有关闭,vim /etc/selinux/config 看看是不是disabled。
2022 年中高职组“网络安全”赛项-海南省省竞赛任务书-1-B模块-B-4Web渗透测试
轻舟已过万重山
07-23 257
通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020进行渗透测试,这里因为我们的Web服务器MySQL数据库版本原因,所以我换了台Web服务器,进行测试。将该场景中数据库的版本号作为 FLAG(例如:5.0.22)提交。换的这台Linux的服务器的IP为192。需要提交的flag:【
等级保护 总结2
最新发布
qq_25467441的博客
07-24 361
FireHunter 6000是华为公司推出的高性能APT威胁检测系统,利用多引擎虚拟检测技术以及传统的安全检测技术,基于行为特征检测,识别网络中传输的恶意文件和C&C攻击,有效避免未知威胁攻击的扩散和企业核心信息资产损失。AntiDDoS管理等功能,支持安全功能服务化、可视化,协同网络安全设备和大数据智能分析系统形成全面威胁感知、分析和响应的整网主动安全防护体系。安全态势感知系统协同网络安全实现威胁自动近源处置,提升威胁处置效率,缩小威胁横向扩散的范围,降低威胁对业务的影响。
通过“微软蓝屏”事件对网络安全的思考
技术分享、程序员趣事、行业趋势等内容!
07-23 705
近日,一次由微软视窗系统软件更新引发的全球性“微软蓝屏”事件,不仅成为科技领域的热点新闻,更是一次对全球IT基础设施韧性与安全性的深刻检验。这次事件,源于美国电脑安全技术公司“众击”提供的一个带有“缺陷”的软件更新,它如同一颗隐形炸弹,在全球范围内引爆,导致近850万台设备遭遇故障,横跨航空、医疗、传媒等众多关键行业,甚至造成美国超过2.3万架次航班延误,其影响之广令人震惊。面对如此大规模的系统中断,网络安全与系统稳定性的讨论再次被推上风口浪尖。如何构建更加稳固和安全网络环境?
网络安全相关竞赛比赛
黑战士的博客
07-18 930
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值