WEB漏洞知识点介绍

于 2024-07-24 16:19:29 发布
阅读量103 收藏 2
点赞数 7
分类专栏: Security 文章标签: 安全 密码学 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51591328/article/details/140662922
版权

在这里插入图片描述

简要说明以上漏洞危害情况

SQL注入:对应网站数据库权限,通过这个漏洞可以获取到网站数据库里面的数据,范围不同权限不同;
文件上传:找到文件上传的漏洞大部分可以直接获取到网站权限
xss跨站:围绕网站管理员的登录凭据(cookie),一般获得网站后台权限,不能直接获得网站权限或数据库权限;

简要说明以上漏洞等级划分

高危:sql注入,文件上传,文件包含,代码执行等

简要说明以上漏洞重点内容

CTF:SQL注入,反序列化,文件上传,代码执行
SRC:全部
红蓝对抗:权限问题,文件上传,注入,代码执行

简要说明以上漏洞现实问题

sql注入漏洞:获得数据库的权限,进而危害到网站权限
目录遍历漏洞:可以得到文件夹的结构,文件名,文件夹名,但是不能得到文件的内容
文件读取漏洞:不能得到目录结构,但是可以得到单个文件的内容
文件上传漏洞:可以直接上传后门,获得网站权限

文件下载漏洞

根据下载链接得到参数及其加密形式,然后在下载一个文件测试,将两个链接比对不同的部分;然后将自己想要尝试下载的文件进行加密,拼接到下载链接的参数部分,进行下载测试;
应该配合目录遍历漏洞
在这里插入图片描述

目录扫描工具
https://github.com/maurosoria/dirsearch
柒拾柒_L
关注
  • 7
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB常见漏洞知识总结思维导图
weixin_50593647的博客
12-27 2471
个人关于WEB知识的知识总结,如有写错欢迎交流,由于个人可能有些地方理解错误,压缩包下载链接:WEB安全知识总结.zip-网络安全文档类资源-CSDN下载,有需要就下载。 ...
WEB安全知识点
PatrickStar131的博客
11-10 3898
SQL注入: 原理: 指web应用程序对用户输入的数据合法性没有判断,导致攻击者可以构造不同的sql语句来对数据库数据库的操作。(web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把sql语句带进数据库中进行查询)。 Sql注入漏洞的产生需要满足两个条件: ①参数用户可控:前端传给后端的参数内容是用户可以控制的。 ②参数代入数据库查询:传入的参数拼接到sql语句,且带入数据库查询。 危害 ①数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。 ②网页篡改:通过操作数据库对...
web漏洞总结大全(基础)
Ba1_Ma0的博客
01-20 2636
web漏洞总结大全(基础)
漏洞知识点选择
xiaxinxin000的博客
11-12 4277
漏洞
web3知识体系汇总
mask哥
02-13 2829
web3知识体系总结
web渗透之文件上传漏洞知识总结
IerkeU的博客
12-20 3054
一、文件上传漏洞思路: 第一步: 首先看中间件:因为第一步看中间件就是确定是否存在解析漏洞(学习整理几种解析漏洞的对应版本,有些低版本有解析漏洞,有些高版本就没有。)中间件版本确定了,解析漏洞就确定了,有些解析漏洞只要有上传点就能实现提权,有些会受到权限就不行 第二步: 然后有了解析漏洞,我们就要找文件上传来配合。 scan字典扫描(就通过网站字典扫描) 会员中心(这种很有可能是文件上传的地方) 扫描后去到验证/绕过的环节,判断验证方式:...
Web漏洞-XXE漏洞(详细)
Ays.Ie的博客
03-11 5506
该篇描述Web漏洞-XXE漏洞(详细)
第11天-Web漏洞——必懂知识点
MCTSOG的博客
01-19 5587
实际应用中右边方框中的漏洞,碰到的概率比较大! 简要说明以上漏洞危害情况 SQL注入危害 1.攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。 2.可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。 3.如果网站目录存在写入权限,可以写入网页木马。攻击者进而可以对网页进行篡改,发布一些 违法信息等。 4.经过提权等步骤,服务器最高权限被攻击者获取。攻击者可以远程控制服务器,安装后门,得 以修改或控制操作系统 文件上传危害 如果 Web应用程序存在.
Web漏洞-未授权访问漏洞
Ays.Ie的博客
03-21 3648
该篇记录了web漏洞-未授权访问漏洞的相关知识
web安全——sql注入漏洞详解
weixin_61967363的博客
03-16 1409
sql注入漏洞知识讲解到检查流程总结
web应用漏洞.docx
07-05
Web 应用漏洞知识点总结 在本文中,我们将对 Web 应用漏洞进行总结,涵盖了多种类型的漏洞,如远程代码执行、SQL 注入、跨站脚本攻击(XSS)、文件包含、命令执行、任意文件删除、权限提升等。这些漏洞来自于多种 ...
web漏洞挖掘经验.pdf
12-12
以下是 Web 漏洞挖掘经验总结的详细知识点: 1. 信息前期收集: * 域名信息收集:使用 Whois 查询、站长工具网、爱站工具网等工具可以查询到域名的相关信息,如域名服务商、域名拥有者、邮箱、电话、地址等信息。...
ASP.NET笔记之Session、http、web开发原则、xss漏洞的详细介绍
10-27
这些知识点对于理解和构建安全、高效的Web应用程序至关重要。 首先,我们来讨论Session。在ASP.NET中,Session是一种用于存储用户会话数据的机制。它允许开发者在用户的不同请求之间保持状态,例如存储用户登录信息...
web常见漏洞思维导图.rar
03-04
下面将详细阐述其中涉及的知识点。 首先,Web常见漏洞主要包括以下几类: 1. SQL注入:这是一种攻击者通过输入恶意SQL代码来获取、修改、删除数据库信息的手段。防范措施包括使用预编译语句、参数化查询以及限制...
Web常见十大漏洞.pdf
03-30
Web应用程序中,安全漏洞是非常常见的问题,以下是Web常见十大漏洞知识点总结: 一、SQL注入漏洞 SQL注入攻击是Web应用程序中最常见的安全漏洞之一,它是指攻击者通过输入恶意的SQL代码,来访问或控制数据库的...
粉尘传感器助力面粉厂安全生产
iotsensor的博客
07-19 669
OPC-R2有16个大小的垃圾箱,可以每秒记录PM1、PM2.5和PM10以及大小直方图,这在应用程序需要的不仅仅是PM时至关重要。OPC-R2取代了OPC-R1,带来了比其前身更好的小颗粒检测、更低的风扇噪声和更好的EMC保护。因此,如何有效监测和控制面粉厂的粉尘浓度,成为了保障安全生产的关键。这种传感器能够实时、准确地监测空气中的粉尘浓度,并将数据反馈给控制系统,从而实现对粉尘浓度的有效控制。通过实时监测和控制粉尘浓度,可以有效保障工作人员的健康、设备的安全运行以及环境的保护。
【ROS2】高级:安全-部署指南
cxyhjl的博客
07-21 721
目标:了解将安全工件部署到生产系统时的最佳实践。教程级别:高级时间:20 分钟内容背景先决条件一般准则构建部署场景生成 Docker 镜像理解 compose 文件运行示例检查容器背景典型的部署场景通常涉及将容器化的应用程序或软件包发送到远程系统。在部署启用安全性的应用程序时应特别注意,要求用户考虑打包文件的敏感性。遵循 DDS 安全标准 https://www.omg.org/s...
内网安全:IPC横向
最新发布
8888的博客
07-23 540
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 554
一站式云安全托管限时试用 开启全能高效攻防
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值