漏洞产生原因

最新推荐文章于 2023-04-23 21:42:00 发布
最新推荐文章于 2023-04-23 21:42:00 发布
阅读量4.8k 收藏 6
点赞数 1
分类专栏: Hacker Way 文章标签: 安全 http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45650712/article/details/107396072
版权

学习笔记—漏洞产生原因

一、漏洞产生原因
1.静态层
Html JavaScript jQuery
Xss 反射型的
2.脚本层
ASP PHP JSP ASPX 处理一个参数,服务器性能比较低
文件包含、文件上传、代码执行、、、、、
1M <50M 数据处理出问题 溢出、报错
3.数据层
MYSQL Oracle sqlserver
Redis mongodb
溢出漏洞,版本过低,未授权访问,
4.服务层
IIS NGINX APACHE
不安全的HTTP方法,文件解析,代理配置,版本过低
5.系统层
Windows linux
远程代码执行、权限提升、拒绝服务、远程命令执行
在这里插入图片描述
在这里插入图片描述
二、什么是渗透测试
1.BS/CS: BS/CS
HTTP协议:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
2.https:
在这里插入图片描述
在这里插入图片描述
状态码:
200
302
404
403
502
500
3.局域网简单通信
在这里插入图片描述
ARP广播:A发送ARP广播找目标主机,所有主机都收到
B 我是你要找的主机,ip地址返回给交换机
C 我不是你要找的主机,丢弃
ARP泛洪:表被恶意的填满,就会发生泛洪(arp毒化)
Hub(集线器)主机发送的每个数据包都会被其他主机收到
ARP欺骗 C伪造B 窃取A-B之间的数据
4.TCP/IP
在这里插入图片描述
5.攻击路径溯源
在这里插入图片描述
6.想脚本语言之前,要思考语言是用来最什么的?
语言是用来交流的
需要先用耳朵听到别人的语言,进到大脑里思考,用嘴巴告诉别人
需要根据语言判断该怎么回应

脚本语言是用来做什么的
PHP JSP ASP ASPX
汉语 韩语 英语 法语
脚本解释器(大脑)

问名字,张三 001
老师问,你们班有没有人叫张三?

花名册,班长查找花名册(数据库),有就有,没有就没有

Web服务器,如果有噪声无法正常工作 ddos
听错了,出现漏洞 典型的sql注入
信息泄露
脚本解释器:大脑
各种语言类型:编程语言
规则定制:代码
花名册:数据库
在这里插入图片描述
了解更多请关注下列公众号:
在这里插入图片描述

永不垂头
关注
专栏目录
PHP程序漏洞产生原因分析与防范方法说明
10-26
本篇文章主要是对PHP程序漏洞产生原因分析与防范方法进行了详细的介绍,需要的朋友可以过来参考下,希望对大家有所帮助
漏洞是如何产生的,该怎么提前预防处理
最新发布
dexun123的博客
05-07 3119
漏洞扫描是一种自动化的安全测试方法,用于检测计算机系统、网络和应用程序中的漏洞安全缺陷。漏洞扫描工具会对系统进行自动化的测试,以发现可能存在的安全漏洞和缺陷,如密码弱、SQL注入、跨站脚本攻击等。漏洞扫描工具会模拟攻击者的攻击行为,对系统中的漏洞进行探测和测试,以帮助管理员或开发人员识别和修复系统中的漏洞漏洞扫描通常包括以下几个步骤:信息收集:收集系统、网络或应用程序的信息,如IP地址、端口号、协议等。漏洞探测:扫描系统、网络或应用程序中的漏洞安全缺陷,如密码弱、SQL注入、跨站脚本攻击等。
计算机与网络漏洞存在的原因
挑灯看剑的专栏
10-24 4487
1.总体来讲,计算机与网络漏洞的存在是不可避免的,其中根本的原因包括: (1).计算机所采用的冯诺依曼体系结构 (2).网络通信协议TCP/IP协议 (3).新的应用和技术,需求等带来技术上上的漏洞和挑战。 2.对于第一点,冯诺依曼体系结构之所以会产生漏洞是因为冯诺依曼计算机的如下工作原理造成的: (1)计算机内的指令和数据均是由二进制来表示的,根据控制器判断当前的指令周期来决定二进制是
安全漏洞本质 各漏洞成因
weixin_34342578的博客
02-05 466
http://weibo.com/p/1001603806840004717482 漏洞类型比较多,就不一一详述了。列了一张表,各安全漏洞成因表,如下FLASH LSO XSS可参考 一个flash的0day导致的淘宝网存储xssby Neobyte http://www.wooyun.org/bugs/wooyun-2013-039481该...
常见WEB开发安全漏洞 原因分析及解决
04-08
NULL 博文链接:https://leeqoo.iteye.com/blog/1584867
网络安全培训视频教程-55.上传漏洞形成原因分析.rar
07-09
2007年的互联网状况可以说是不容乐观,自从轰动一时的“熊猫烧香”、“金猪”病毒、到臭名远洋的“灰鸽子”木马、还有最近的“ANI”漏洞真是让人很头疼!而且病毒不仅仅是造成互联网高危状态的主要因素,网络上同时...
s2-01漏洞形成原因
07-20
s2-01漏洞是指基于Struts2框架的远程代码执行漏洞,其形成原因主要有以下几点: 1. 基于表达式语言(OGNL)的漏洞:Struts2框架中使用了OGNL表达式语言,用于处理请求参数和值的解析。由于没有对用户输入进行充分的...
mutillidae sql注入漏洞产生原因
05-23
Mutillidae是一个用于测试Web应用程序安全性的漏洞练习平台,其中包括许多已知的漏洞。SQL注入是Mutillidae中常见的漏洞之一。 SQL注入是由于Web应用程序在处理用户输入时没有正确验证或过滤用户提供的数据而导致的...
安全漏洞整改报告.docx
11-13
#### 二、漏洞产生原因 漏洞产生的主要原因是: - **工程阶段问题**:由于公司在工程建设期间,部分应用软件和运行数据尚处于开发和测试阶段,导致某些漏洞未能及时发现并修复。 - **安全意识不足**:业务系统上线前...
常见web漏洞产生原因与防御方法
Shanfenglan's blog
04-02 2568
文章目录1. 命令注入1.1 产生原因1.2 防御方法2. sql注入2.1 产生原因2.2 防御方法3. XXE攻击3.1 产生原因3.2 防御方法4. 代码执行漏洞4.1 产生原因4.2 防御方法5. CSRF5.1 产生原因防御方法6. 文件上传漏洞6.1 产生原因6.2 防御方法7. 文件包含7.1 产生原因7.2 防御方法8. SSRF8.1 产生原因8.2 防御方法9. XSS9.1 产生原因1、非持久型2、持久型3、DOM型4、浏览器漏洞造成9.2 防御方法1. 使用转义函数基于黑名单和白名单
4大典型安全漏洞是怎么来的?如何解决?
simplilearnCN的博客
03-16 6549
关于防御网络攻击,最好的防御就是强有力的出击。首先,必须使用适当的工具和流程(如漏洞扫描程序和威胁检测技术)来识别潜在的漏洞和威胁。确定漏洞和威胁后,分析确定它们的优先级,按重要性顺序消除或减轻它们。
信息收集及漏洞利用--安全(四)
qq_43371350的博客
04-03 2992
信息收集 收集目标web服务器的网络信息、系统信息、组织信息 网络信息 包括:域名、TCP/UDP的端口、网络协议、防火墙、访问控制策略等 系统信息 包括:系统标识、站点目录、系统架构、路由表、测试/临时文件 组织信息 包括:员工信息、邮箱/电话、公司地址、组织网站、组织背景等 whois信息 收集注册人、电话、邮箱、dns、地址等 whois 信息 whois.chinaz.com , wwww...
常见漏洞原理及修复方式
Mr_helloword的博客
08-03 4441
漏洞原理及防护 Burte Force(暴力破解) 在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 防御: 1.是否要求用户设置复杂的密码; 2.是否每次认证都使用安全的验证码(想想你买火车票时输的验证码~)或者手机otp; 3.是否对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定或IP地址锁定等); 4.是否采用了双因素认证; XS
软件代码产生bug原因
tuery1314的专栏
04-23 1723
例如,如果程序需要向推送服务发送消息,但是推送服务出现故障,程序将无法正常发送消息,从而产生错误。例如,如果程序需要从数据库中读取数据,但是数据已经被删除或修改,程序将无法读取正确的数据,从而产生错误。例如,如果程序需要访问某个数据库,但是数据库的地址或者登录信息配置错误,程序将无法访问数据库,从而产生错误。例如,如果程序需要使用某个库的最新版本,但是程序使用的是旧版本,程序将无法正常工作。例如,如果程序需要使用某个设备进行通信,但是设备出现故障,程序将无法正常通信,从而产生错误。
常见的内核漏洞成因
逆向学习
09-20 1025
文章目录内核漏洞成因不要随便使用MmIsAddressVaild函数在驱动中如果要对用户态地址进行操作请使用try,__except长度为0的缓存或者为NULL的指针长度为0的缓存一个为NULL的指针缓存对齐不正确的内核函数的调用ObReferenceObjectByHandle不正确的Zw函数调用不要接受任何用户输入的内核对象传递给内核函数。给驱动程序提供功能接口需要小心 内核漏洞成因 不要...
CVE-2015-2370漏洞成因分析
如鹿渴慕泉水的专栏
12-01 1028
###漏洞成因分析### 官方链接https://bugs.chromium.org/p/project-zero/issues/detail?id=325&amp;amp;amp;can=1&amp;amp;amp;q=dcom&amp;amp;amp;colspec=ID%20Status%20Restrict%20Reported%20Vendor%20Product%20Finder%20Summary 这个漏洞是一种DCOM DCE/...
SQL注入漏洞产生原因 ? 如何防止?
热门推荐
PHPer技术栈
06-13 2万+
SQL注入产生原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。 防止SQL注入: 开启配置文件中的magic_quotes_gpc和magic_quotes_runtime设置 执行sql语句时使用addslashes进行sql语句转换 Sql语句书写尽量不要省略小引号和单引号 过滤掉sql语句中...
sql注入产生原因以及如何防止?
living_ren的博客
03-03 1万+
1.sql注入产生原因: 程序开发过程中不注意书写规范,对sql语句和关键字未进行过滤,导致客户端可以通过全局变量get或者post提交sql语句到服务器端正常运行; 2.防止过滤: 1).过滤掉一些常见的数据库关键字:select、insert、update、delete、and等;或者通过系统函数addslashes(需要过滤的内容)来进行过滤; 2).在PHP配置文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值