![](https://img-blog.csdnimg.cn/20201014180756757.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全常见漏洞
菜丁儿
(ง •_•)ง
展开
-
XSS基础知识_02
文章目录存储型XSS手工(低安全级别)自动化XSSBeFF简介BeFF基础存储型XSS存储型XSS(持久型XSS)即攻击者将带有XSS攻击的连接放在网页的某个页面,例如评论框等;用户访问此XSS链接并执行,由于存储型XSS能够攻击所有访问此页面的用户,所以危害极大。手工(低安全级别)1.攻击1攻击1 弹框警告:渗透机kali Linux端操作text1<script>al...原创 2020-02-02 11:00:04 · 378 阅读 · 0 评论 -
XSS基础知识_01
跨站脚本攻击XSS文章目录跨站脚本攻击XSSXSS简介原理解析构造XSS脚本常用HTML标签常用的Javascript方法构造XSS脚本反射型XSS低级别XSS简介对客户端进行攻击(另一种跨站请求伪造也是针对客户端的)。跨站脚本(cross site script)是为了避免与样式CSS混淆,所以简称为XSS。XSS是一种经常出现在web应用中的计算安全漏洞,也是web中最主流的攻击方...原创 2020-02-02 10:30:06 · 402 阅读 · 0 评论 -
SQL Injection基础知识_03
文章目录SQL自动化注入GET方法注入POST方法注入提权操作综合实例SQL自动化注入SQL注入比较好用的工具,首推开源工具SQLmap。SQLmap是一个国内外著名的安全稳定性测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的安全稳定性测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带...原创 2020-02-01 13:33:53 · 1806 阅读 · 0 评论 -
SQL Injection基础知识_02
文章目录SQL 注入流程手动注入实战基于错误的注入基于布尔的注入基于UNION的注入基于时间的盲注SQL 注入流程1.判断是否有SQL注入漏洞2.判断操作系统、数据库和web应用的类型3.获取数据库信息,包括管理员信息及拖库4.加密信息破解,sqlmap可自动破解(sqlmap王者sql注入工具)5.提升权限,获得sql-shell、os-shell、登录应用后台。手动注入实战低安...原创 2020-02-01 13:15:21 · 296 阅读 · 0 评论 -
SQL Injection基础知识_01
文章目录SQL注入攻击及防御01实验简介SQL注入危害SQL基础回顾登录OWASP查看数据库查看数据库中的表查看表的记录简单查询示例information_schemaSQL注入攻击及防御01实验简介在owasp年度top10安全问题中,注入高居榜首。SQL注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要...原创 2020-01-31 21:46:37 · 350 阅读 · 0 评论