漏洞产生原因

最新推荐文章于 2024-05-07 15:43:16 发布
最新推荐文章于 2024-05-07 15:43:16 发布
阅读量4.8k 收藏 6
点赞数 1
分类专栏: Hacker Way 文章标签: 安全 http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45650712/article/details/107396072
版权
本文深入探讨了从静态层到系统层的漏洞产生原因,包括HTML、脚本语言、数据库和服务层的安全问题,以及系统层的各类攻击方式。同时介绍了渗透测试的基本概念,如BS/CS模型、HTTPS状态码、局域网通信原理、TCP/IP协议和攻击路径溯源等。
摘要由CSDN通过智能技术生成

学习笔记—漏洞产生原因

一、漏洞产生原因
1.静态层
Html JavaScript jQuery
Xss 反射型的
2.脚本层
ASP PHP JSP ASPX 处理一个参数,服务器性能比较低
文件包含、文件上传、代码执行、、、、、
1M <50M 数据处理出问题 溢出、报错
3.数据层
MYSQL Oracle sqlserver
Redis mongodb
溢出漏洞,版本过低,未授权访问,
4.服务层
IIS NGINX APACHE
不安全的HTTP方法,文件解析,代理配置,版本过低
5.系统层
Windows linux
远程代码执行、权限提升、拒绝服务、远程命令执行
在这里插入图片描述
在这里插入图片描述
二、什么是渗透测试
1.BS/CS: BS/CS
HTTP协议:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
2.https:
在这里插入图片描述
在这里插入图片描述
状态码:
200
302
404
403
502
500
3.局域网简单通信
在这里插入图片描述
ARP广播:A发送ARP广播找目标主机,所有主机都收到
B 我是你要找的主机,ip地址返回给交换机
C 我不是你要找的主机,丢弃
ARP泛洪:表被恶意的填满,就会发生泛洪(arp毒化)
Hub(集线器)主机发送的每个数据包都会被其他主机收到
ARP欺骗 C伪造B 窃取A-B之间的数据
4.TCP/IP
在这里插入图片描述
5.攻击路径溯源
在这里插入图片描述
6.想脚本语言之前,要思考语言是用来最什么的?
语言是用来交流的
需要先用耳朵听到别人的语言,进到大脑里思考,用嘴巴告诉别人
需要根据语言判断该怎么回应

脚本语言是用来做什么的
PHP JSP ASP ASPX
汉语 韩语 英语 法语
脚本解释器(大脑)

问名字,张三 001
老师问,你们班有没有人叫张三?

花名册,班长查找花名册(数据库),有就有,没有就没有

Web服务器,如果有噪声无法正常工作 ddos
听错了,出现漏洞 典型的sql注入
信息泄露
脚本解释器:大脑
各种语言类型:编程语言
规则定制:代码
花名册:数据库
在这里插入图片描述
了解更多请关注下列公众号:
在这里插入图片描述

永不垂头
关注
专栏目录
信息收集及漏洞利用--安全(四)
qq_43371350的博客
04-03 3091
信息收集 收集目标web服务器的网络信息、系统信息、组织信息 网络信息 包括:域名、TCP/UDP的端口、网络协议、防火墙、访问控制策略等 系统信息 包括:系统标识、站点目录、系统架构、路由表、测试/临时文件 组织信息 包括:员工信息、邮箱/电话、公司地址、组织网站、组织背景等 whois信息 收集注册人、电话、邮箱、dns、地址等 whois 信息 whois.chinaz.com , wwww...
PHP程序漏洞产生原因分析与防范方法说明
10-26
本篇文章主要是对PHP程序漏洞产生原因分析与防范方法进行了详细的介绍,需要的朋友可以过来参考下,希望对大家有所帮助
漏洞是如何产生的,该怎么提前预防处理
最新发布
dexun123的博客
05-07 4218
漏洞扫描是一种自动化的安全测试方法,用于检测计算机系统、网络和应用程序中的漏洞安全缺陷。漏洞扫描工具会对系统进行自动化的测试,以发现可能存在的安全漏洞和缺陷,如密码弱、SQL注入、跨站脚本攻击等。漏洞扫描工具会模拟攻击者的攻击行为,对系统中的漏洞进行探测和测试,以帮助管理员或开发人员识别和修复系统中的漏洞漏洞扫描通常包括以下几个步骤:信息收集:收集系统、网络或应用程序的信息,如IP地址、端口号、协议等。漏洞探测:扫描系统、网络或应用程序中的漏洞安全缺陷,如密码弱、SQL注入、跨站脚本攻击等。
计算机与网络漏洞存在的原因
挑灯看剑的专栏
10-24 4574
1.总体来讲,计算机与网络漏洞的存在是不可避免的,其中根本的原因包括: (1).计算机所采用的冯诺依曼体系结构 (2).网络通信协议TCP/IP协议 (3).新的应用和技术,需求等带来技术上上的漏洞和挑战。 2.对于第一点,冯诺依曼体系结构之所以会产生漏洞是因为冯诺依曼计算机的如下工作原理造成的: (1)计算机内的指令和数据均是由二进制来表示的,根据控制器判断当前的指令周期来决定二进制是
安全漏洞本质 各漏洞成因
weixin_34342578的博客
02-05 476
http://weibo.com/p/1001603806840004717482 漏洞类型比较多,就不一一详述了。列了一张表,各安全漏洞成因表,如下FLASH LSO XSS可参考 一个flash的0day导致的淘宝网存储xssby Neobyte http://www.wooyun.org/bugs/wooyun-2013-039481该...
常见WEB开发安全漏洞 原因分析及解决
04-08
NULL 博文链接:https://leeqoo.iteye.com/blog/1584867
网络安全培训视频教程-55.上传漏洞形成原因分析.rar
07-09
2007年的互联网状况可以说是不容乐观,自从轰动一时的“熊猫烧香”、“金猪”病毒、到臭名远洋的“灰鸽子”木马、还有最近的“ANI”漏洞真是让人很头疼!而且病毒不仅仅是造成互联网高危状态的主要因素,网络上同时...
s2-01漏洞形成原因
07-20
s2-01漏洞是指基于Struts2框架的远程代码执行漏洞,其形成原因主要有以下几点: 1. 基于表达式语言(OGNL)的漏洞:Struts2框架中使用了OGNL表达式语言,用于处理请求参数和值的解析。由于没有对用户输入进行充分的...
mutillidae sql注入漏洞产生原因
05-23
Mutillidae是一个用于测试Web应用程序安全性的漏洞练习平台,其中包括许多已知的漏洞。SQL注入是Mutillidae中常见的漏洞之一。 SQL注入是由于Web应用程序在处理用户输入时没有正确验证或过滤用户提供的数据而导致的...
基于“物理路径泄露”漏洞谈网络安全问题防范.pdf
09-19
"基于“物理路径泄露”漏洞谈网络安全问题防范" 在网络安全领域,"物理路径泄露"漏洞是一种常见的安全漏洞,它可以让攻击者获取服务器的物理路径信息,进而实施进一步的攻击。该漏洞属于中低危风险漏洞,但攻击者...
安全漏洞整改报告.docx
11-13
#### 二、漏洞产生原因 漏洞产生的主要原因是: - **工程阶段问题**:由于公司在工程建设期间,部分应用软件和运行数据尚处于开发和测试阶段,导致某些漏洞未能及时发现并修复。 - **安全意识不足**:业务系统上线前...
PHP程序漏洞产生原因和防范方法
07-09
PHP程序漏洞产生原因和防范方法
常见web漏洞产生原因与防御方法
Shanfenglan's blog
04-02 2598
文章目录1. 命令注入1.1 产生原因1.2 防御方法2. sql注入2.1 产生原因2.2 防御方法3. XXE攻击3.1 产生原因3.2 防御方法4. 代码执行漏洞4.1 产生原因4.2 防御方法5. CSRF5.1 产生原因防御方法6. 文件上传漏洞6.1 产生原因6.2 防御方法7. 文件包含7.1 产生原因7.2 防御方法8. SSRF8.1 产生原因8.2 防御方法9. XSS9.1 产生原因1、非持久型2、持久型3、DOM型4、浏览器漏洞造成9.2 防御方法1. 使用转义函数基于黑名单和白名单
4大典型安全漏洞是怎么来的?如何解决?
simplilearnCN的博客
03-16 6571
关于防御网络攻击,最好的防御就是强有力的出击。首先,必须使用适当的工具和流程(如漏洞扫描程序和威胁检测技术)来识别潜在的漏洞和威胁。确定漏洞和威胁后,分析确定它们的优先级,按重要性顺序消除或减轻它们。
常见漏洞原理及修复方式
Mr_helloword的博客
08-03 4497
漏洞原理及防护 Burte Force(暴力破解) 在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 防御: 1.是否要求用户设置复杂的密码; 2.是否每次认证都使用安全的验证码(想想你买火车票时输的验证码~)或者手机otp; 3.是否对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定或IP地址锁定等); 4.是否采用了双因素认证; XS
软件代码产生bug原因
tuery1314的专栏
04-23 1775
例如,如果程序需要向推送服务发送消息,但是推送服务出现故障,程序将无法正常发送消息,从而产生错误。例如,如果程序需要从数据库中读取数据,但是数据已经被删除或修改,程序将无法读取正确的数据,从而产生错误。例如,如果程序需要访问某个数据库,但是数据库的地址或者登录信息配置错误,程序将无法访问数据库,从而产生错误。例如,如果程序需要使用某个库的最新版本,但是程序使用的是旧版本,程序将无法正常工作。例如,如果程序需要使用某个设备进行通信,但是设备出现故障,程序将无法正常通信,从而产生错误。
RCE漏洞
weixin_46962006的博客
12-13 7648
                       RCE(远程代码/命令执行)漏洞 目录前言简介 前言        个人观点,若有误请指教 简介 RCE(Remote Code/Command Execute)为远程代码/命令执行的漏洞 漏洞产生原因:在Web应用中开发者为了灵活性,简洁性等会让应用去调用代码或者系统命令执行函数去处理。同时没有考虑用户是否可以控制这些函数的参数问题(若不能控制这些参数,自然也没有这个漏洞;若能控制这些参数,也可能出现考虑了但没有完全防住或者压根没考虑 ????),以至
高危漏洞 log4j漏洞产生原因和解决方案
热门推荐
qq_54088719的博客
12-12 3万+
2021年12月09日,360CERT监测发现Apache Log4j 2存在JNDI远程代码执行,漏洞等级:**严重**,漏洞评分:**9.8**。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值