【CTF学习笔记】web应用主要威胁

最新推荐文章于 2024-04-22 21:38:46 发布

WK_LF

最新推荐文章于 2024-04-22 21:38:46 发布

阅读量401

点赞数 7

文章标签：学习笔记

本文链接：https://blog.csdn.net/weixin_44554793/article/details/136309633

版权

OWASP TOP10

OWASP open web application security project 开放式web应用程序安全项目是一个组织

注入类威胁

SQL注入

XSS漏洞

文件上传

文件包含

文件下载

OS命令注入

（这些举例蛮抽象的还是希望有具体代码实例看看比较容易理解）

SQL注入

输入的东西被web应用程序当成代码执行了

XSS漏洞

恶意用户提交的数据被web程序当作HTML标签和JavaScript代码返回给浏览器解析执行

（不懂）没说实例

后面不看了

没有代码实例纯念文字不好玩跳过

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

WK_LF

关注关注

7
点赞
踩
5

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探

杨秀璋的专栏

11-12

3万+

这是作者的系列网络安全自学教程，主要是关于网安工具和实践操作的在线笔记，特分享出来与博友共勉，希望您们喜欢，一起进步。前文分享了分享机器学习在安全领域的应用，并复现一个基于机器学习（逻辑回归）的恶意请求识别。这篇文章简单叙述了Web安全学习路线，并实现了最简单的木马和病毒代码，希望对读者有所帮助。

[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习

杨秀璋的专栏

11-01

1万+

这是作者的系列网络安全自学教程，主要是关于网安工具和实践操作的在线笔记，特分享出来与博友共勉，希望您们喜欢，一起进步。前文分享了Web渗透的第一步工作，涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这篇文章换个口味，将分享机器学习在安全领域的应用，并复现一个基于机器学习（逻辑回归）的恶意请求识别。

1 条评论您还未登录，请先登录后发表或查看评论

网络安全：CTF入门必备之题型介绍

Y525698136的博客

03-03

8871

CTF 题目类型一般分为 Web 渗透、RE 逆向、Misc 杂项、PWN 二进制漏洞利用、Crypto 密码破译。

CTF——web安全（三）

qq_45215609的博客

04-19

549

CTF——web安全（三） 1、题目一：网站被黑

CTF——web安全（四）

最新发布

qq_45215609的博客

04-22

1551

CTF——web安全（四） 1、题目一：本地管理员 2、题目二：Simple_SSTI_1 3、题目三：Simple_SSTI_2

【网络安全】CTF入门教程（非常详细）从零基础入门到进阶，看这一篇就够了！

程序员若风的博客

12-11

3586

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯” 。

CTF比赛中web安全题型讲解

白帽子凯哥聊黑客

12-11

3186

在CTF（Capture The Flag）竞赛中，Web安全题目是测试参赛者对Web应用漏洞利用和防御能力的重要环节。

02-10

1. **Web安全**：指的是保护Web应用程序免受攻击的安全措施。这包括防止SQL注入、跨站脚本（XSS）、跨站请求伪造（CSRF）、文件包含漏洞等。理解Web安全需要掌握HTTP协议、服务器配置、前端与后端交互原理以及常见...

CTF资源

镜湖

08-05

978

一个人成长此部分内容来自 TK 教主分享的腾讯玄武实验室内部例会 PPT 资料。 1 个人成长确立个人方向，结合工作内容，找出对应短板：该领域主要专家们的工作是否都了解？相关网络协议、文件格式是否熟悉？相关的技术和主要工具是否看过、用过？阅读只是学习过程的起点，不能止于阅读：工具的每个参数每个菜单都要看、要试。学习网络协议要实际抓包分析，学习文件格式要读代码实现。学习老漏洞一定要调试，搞懂别人代码每一个字节的意义，之后要完全自己重写一个 Exploit。细节、细节、细节，刨根问

[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗

杨秀璋的专栏

04-29

1万+

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前面三篇文章详细分享了WannaCry勒索病毒，包括病毒复现、IDA和OD逆向分析蠕虫传播、防护措施等，那么如何防护呢？所以，接下来这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》，带领大家看看知名安全厂商的威胁防护措施，包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章，希望对您有所帮助，如果存在错误或不足之处，还望告知，加油！

CTF web安全经典例题讲解

10-22

该内容为CTF赛题web安全经理例题讲解，包含sql注入，密码学、文件上传，提权、抓包改包等多种题型讲解，图文结合，适合新手学习。

CTF练习——WEB安全（BurpSuite为主）

zytjulie的博客

08-22

3250

CTF训练，WEB安全，Burpsuite部分

Web安全-CTF中的常见命令总结

m0_74220316的博客

01-21

1483

cat命令用于查看文件内容，并且将文件内容打印到标准输出流，并且在不跟上文件或跟上如上所示，输入123test，回车后将打印此内容，并且换行继续等待输入-n。

网络安全CTF ——web_文件包含(1)，从消息中间件看分布式系统的多种套路

zhuceyigecsdn的博客

04-09

585

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！

CTF之web安全

weixin_45722313的博客

04-02

9854

web安全 CSRF 简介 CSRF，全名 Cross Site Request Forgery，跨站请求伪造。很容易将它与 XSS 混淆，对于 CSRF，其两个关键点是跨站点的请求与请求的伪造，由于目标站无 token 或 referer 防御，导致用户的敏感操作的每一个参数都可以被攻击者获知，攻击者即可以伪造一个完全一样的请求以用户的身份达到恶意目的。 CSRF 类型按请求类型，可分为 GE...

网络安全CTF之Web基础

晓梦林的博客

09-21

7295

Web类的考试，在CTF比赛中十分常见。本人从计算机专业转网络安全发展，属于半路出家，一知半解，如有总结不到位的地方，欢迎交流分享。

CTF-web安全解题事项

zerolea的博客

03-22

5287

Robots协议： robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。直接在网址后面加后缀： /robots.txt 二、文件备份: 常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history 如：index...

ctf训练 web安全暴力破解

qq_43613772的博客

06-16

2574

此次的方法叫做穷举法，也成为枚举法。就是把可能问题一一列举出来。第一步同样是信息探测（包括敏感信息的探测）信息探测这次只说一下信息探测的以往的语法：扫描主机服务信息以及服务版本 nmap -sV 靶场IP地址快速扫描主机全部信息 nmap -T4 –A -v 靶场IP地址探测敏感信息 nikto -host http://靶场IP地址:端口目录信息探测 dirb http://靶场I...

CTF（信息安全夺旗赛）学习网址