11.web漏洞必懂知识点

最新推荐文章于 2024-03-22 19:52:34 发布
最新推荐文章于 2024-03-22 19:52:34 发布
阅读量270 收藏 1
点赞数
分类专栏: 小迪安全培训视频笔记 安全笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52444045/article/details/119041082
版权

文章目录

前言

本章节将讲解各种 WEB 层面上的有那些漏洞类型,具体漏洞 的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也 是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发 现,如何利用将是本章节学习的重点内容!

知识点

在这里插入图片描述

CTF,SRC,红蓝对抗,实战等

简要说明以上漏洞危害情况

sql:可以获取网站对应数据库权限,得到数据库中的数据

简要说明以上漏洞等级划分

高危:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行

中危:反序列化、逻辑安全

低危:xss跨站,文件读取

简要说明以上漏洞重点内容

ctf:文件上传、SQL注入、反序列化、代码执行

src:几乎都有、专属src中逻辑漏洞比较多

红蓝对抗:高危漏洞

简要说明以上漏洞形势问题

案例演示

小靶场pikachu:GitHub - zhuifengshaonianhanlu/pikachu: 一个好玩的Web安全-漏洞测试平台

SQL 注入漏洞-数据库操作危害

目录遍历漏洞-源码结构泄漏危害

文件读取漏洞-源码内容获取危害

文件上传漏洞-WEB 权限丢失危害

文件下载漏洞-补充演示拓展演示

sec0nd_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透笔记-WEB漏洞-必懂知识点
weixin_44532761的博客
10-13 941
小迪笔记 v9
WEB漏洞-必懂知识点
硫酸超的博客
07-26 635
前言 讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,其实针对漏洞的形成原理,如何发现,如何利用。 CTF,SRC,红蓝对抗,实战等 简要说明漏洞危害情况 每个漏洞危害情况不同 简要说明漏洞等级划分 漏洞危害决定漏洞等级 高危漏洞:SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行 影响:直接影响到网站权限和数据库权限,能够获取数据或者网站的敏感文件。涉及到数据安全和权限的丢失都为高危漏洞 中危漏洞
如何入门挖掘src
2301_77512689的博客
05-19 638
而且,SRC提交这事从来都是前人吃肉后人喝汤的局面,对于这样的平台,综合考虑自身的实力因素,打算先放弃挖掘这样的SRC。等到我挖洞的时候,我才发现,即使一个网站url是:?我发现自己只会挖掘一些SQL注入,信息泄露,文件上传还有已知组件缺陷的漏洞,对于某些隐藏透露的点,如报错、类型限制等,有时候感觉是洞但挖掘不了,有种无从下手的感觉。电商平台:一般会有注册登录的功能,可以尝试注册,然后修改头像昵称什么的,另外可以关注优惠券,cookie,越权等,但我遇到的很多都是用dedecms,防护做的很好。
CTF题为例,浅学一些JAVAweb项目相关知识
Welcome To MakaRi's Blog!
03-22 1824
本文更加偏重于学习题目有关的JAVA知识,而非解题思路,题目的解题与本文讲到的知识点大多无关。但是通过题目学习这些知识可以帮助理解JAVA中web服务和数据库连接的实现,知道了JAVA如何启动服务以及如何连接数据库,这是以后进行JAVA安全学习的前提和基础。本人大一,比较菜且基础薄弱,如有错误还望大佬指点。
小迪渗透&CTF夺旗&SRC挖掘(拾叁)
weixin_41665162的博客
09-04 1732
文章目录83. Python考点SSTI&反序列化&字符串(83-85)演示案例:涉及资源84. PHP弱类型&异或取反&序列化&RCEPHP常考点弱类型绕过对比总结涉及资源 83. Python考点SSTI&反序列化&字符串(83-85) 演示案例: CTF夺旗-Python-支付逻辑&JWT&反序列化 CTF夺旗-Python-Flask&jinja2&SSTI模版注入 CTF夺旗-Python-格式化字符串漏洞
web应用漏洞.docx
07-05
Web 应用漏洞知识点总结 在本文中,我们将对 Web 应用漏洞进行总结,涵盖了多种类型的漏洞,如远程代码执行、SQL 注入、跨站脚本攻击(XSS)、文件包含、命令执行、任意文件删除、权限提升等。这些漏洞来自于多种 ...
web漏洞挖掘经验.pdf
12-12
以下是 Web 漏洞挖掘经验总结的详细知识点: 1. 信息前期收集: * 域名信息收集:使用 Whois 查询、站长工具网、爱站工具网等工具可以查询到域名的相关信息,如域名服务商、域名拥有者、邮箱、电话、地址等信息。...
74cms v4.2.X任意文件读取漏洞
09-06
以下是关于此漏洞的详细解释和相关知识点。 **1. 漏洞原理** 任意文件读取漏洞通常源于Web应用程序对用户输入的文件路径处理不当。在74cms的这些受影响版本中,可能存在一个编程错误,允许攻击者构造恶意请求来读取...
web常见漏洞思维导图.rar
03-04
下面将详细阐述其中涉及的知识点。 首先,Web常见漏洞主要包括以下几类: 1. SQL注入:这是一种攻击者通过输入恶意SQL代码来获取、修改、删除数据库信息的手段。防范措施包括使用预编译语句、参数化查询以及限制...
使用Python脚本实现Web漏洞扫描
最新发布
07-19
### 使用Python脚本实现Web漏洞扫描的关键知识点 #### 一、背景介绍 随着互联网技术的飞速发展,网络安全成为了一个不容忽视的问题。Web应用程序作为互联网服务的重要组成部分,其安全性直接影响到用户的数据安全和...
从零开始学习CTF——CTF是什么
洛柒尘的博客
06-03 5万+
前言: 从2019年10月开始接触CTF,学习了sql注入、文件包含等web知识点,但都是只知道知识点却实用不上,后来在刷CTF题才发现知识点的使用方法,知道在哪里使用,哪里容易出漏洞,可是在挖src漏洞中还是很迷漫,学了快一年还是没挖过一条src漏洞。这一系列是把自己学习的CTF的过程详细写出来,方便大家学习时可以参考。 一、CTF简介 简介 中文一般译作夺旗赛(对大部分新手也可以叫签到赛),在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式 CTF起源于1996年DEFCON全球黑客
CTF web总结
热门推荐
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTF中常见Web源码泄露总结
大方子
10-04 2224
0x01 .hg源码泄漏 漏洞成因:   hg init的时候会生成.hg <span class="pln">e</span><span class="pun">.</span><span class="pln">g</span><span class=&qu
仿IDF实验室的CTF平台
何彬的博客
05-03 3229
算是信息安全课程的作业吧,我们组选择了制作一个CTF的平台,不过本人html的功底确实不怎么好,只好把IDF实验室的界面照搬过来了。。。 只有两天时间,加上只有我一个人在做,所以只实现了基本功能,代码聚合度不高,很多代码都重复写了,没时间优化,也没做安全方面的保护,暂时凑合着看吧。。。 首先是数据库,这个是最核心的东西,不过本人数据库比较菜,所以没有进行很好的设计,将就着看吧 先是创
CTF介绍
ST0new的博客
05-16 9634
前言 刚开始接触CTF,对于misc,reverse等等都傻傻分不清,所以专门去查了下这些名词,给没有接触CTF的童鞋一点入门基础。如果有不对的地方,欢迎大佬指点。 CTF是什么 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。 CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进...
2017.4.10 学习记录与感想 (xss、ctf、学习感想)
foolisheddy
04-10 5802
xss ctf 学习感想
CTF隐写常见套路归纳
爱党人士
08-31 4330
杂项 1文件操作与隐写 2图片隐写术 3压缩文件处理 4流量取证技术 文件操作与隐写 文件类型识别 1.File命令(linux下) 使用:不知道后缀名,无法打开文件。 file 文件名 2.winhex 通过winhex去查看文件头类型,根据文件头类型判断出文件类型。 使用:Windows下通过文件头信息判断文件类型 常见文件头类型 JPG FFD8FFE1 PNG 89504E47 ZIP 5...
Web安全CTF 题初级试练
土豆回锅的博客
01-19 3万+
最近在整理一些CTF题,觉得很有意思,觉得有必要一下!CTF对题目说明很重要,请务必重视! 1.Robot 熟悉web的人,看到题目应该想起robots协议,也被称为爬虫协议、机器人协议,网站通过robots协议告诉搜索引擎,哪些页面可以抓取,哪些页面不能抓取。 当一个网页爬虫爬去站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定
CTF中的加密问题
龙乐的专栏
08-15 4615
   练习题中是一些加解密小练习题,可以参考加解密小结1和加解密小结2中的特征对应进行加解密。可以利用工具。 RSA练习题:python脚本解RSA,脚本代码为(这里给出了p,q实际做题过程中是需要利用工具解p,q): #!/usr/bin/env python import gmpy from Crypto.PublicKey import RSA n = 4106906565495...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值