Web漏洞概述

已于 2023-06-29 00:19:54 修改
阅读量385 收藏
点赞数
分类专栏: 信息安全 文章标签: 安全 web安全
于 2023-05-29 20:51:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62421736/article/details/130936043
版权

目录

一、什么是漏洞?

1.官方定义

2.基本理解

3.bug和漏洞的区别

二、什么是Web漏洞?

三、TOP10漏洞

一、什么是漏洞?

1.官方定义

漏洞是在硬件、软件、协议的具体实现或系统的安全策略上存在的缺陷,从而可以使攻击者能够在未授权下访问和操作,而这个缺陷我们就称之为漏洞

2.基本理解

漏洞是硬件、软件、协议在生命周期的各个阶段(设计、实现、运维等过程)中产生的某类问题,这些问题会对系统的安全(机密性、完整性、可用性)产生影响,从而形成漏洞

3.bug和漏洞的区别

有人经常理解为bug就是漏洞,其实不然,漏洞和bug并不等同,是两个概念,他们的关系可以理解为:大部分的bug是影响功能性,但不涉及安全性,也就是不构成漏洞;大部分漏洞源于bug,但并不是都来源于bug,他们之间可以说有很大的交集

二、什么是Web漏洞?

Web漏洞是指Web应用程序的安全漏洞,指攻击者可以轻松获取Web应用系统及服务器的控制权限,从而进行网页篡改、数据窃取等破坏活动等

三、TOP10漏洞

1.失效的访问控制

2.加密机制失效

3.注入(包括跨站脚本攻击 XSS 和 SQL 注入等)

4.不安全设计

5.安全配置错误

6.自带缺陷和过时的组件

7.身份识别和身份验证错误

8.软件和数据完整性故障

9.安全日志和监控故障

10.服务端请求伪造 SSRF

尽欢i
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB漏洞分类与定义
Macro2的博客
05-19 1705
WEB漏洞分类与定义web vulnerability classification and definition guideline 前 言 本标准按照 本标准按照 GB/T1.1GB/T1.1GB/T1.1GB/T1.1 GB/T1.1 -2009 给出的规则起草 给出的规则起草 给出的规则起草 。 随着电信网和互联的发展,将不断补充完善安全防护体系相关标准。 随着电信网和互联的发展,将不断补充完善安全防护体系相关标准。 随着电信网和互联的发展,将不断补充完善安全防护体系相关标准。 随着电信网和.
WEB漏洞概述
东方一华
03-27 1222
物理路径泄露:物理路径泄露一般是由于WEB服务器处理用户请求出错导致的,如通过提交一个超长的请求,或者是某个精心构造的特殊请求,亦或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点,那就是被请求的文件肯定属于CGI脚本,而不是静态HTML页面。还有一种情况,就是WEB服务器的某些显示环境变量的程序错误的输出了WEB服务器的物理路径,这应该算是设计上的问题。  CGI源代码泄露:
Web漏洞简介
积极分子
07-22 409
1、暴力破解 原因:用户密码设置简单 方法:利用字典或猜测设定请求包的参数,对登录用户名和密码进行多次测试 2、命令行注入 原因:解析用户输入的命令行时,对数据过滤不严谨,用作系统操作命令执行 方法:利用漏洞绕过过滤条件,利用批处理执行多条命令 3、CSFR 跨站请求伪造 原因:利用受害者尚未失效的身份认证信息,诱骗其点击恶意链接或者访问含有攻击代码的页面,在受害者不知情的情况下以受害者身份向目标服务器发送操作请求,从而达到攻击目的 方法:攻击者将自己的用户修改密码成功后发送结果链接至受害者,可以隐藏为短链
WEB应用漏洞简单介绍
pvlking的专栏
02-20 672
注入: 命令注入:; || | && 等连接语句 XPath注入:针对xml的注入与sql注入类似(要熟悉XML语法) LDAP注入: SQL注入:大家都很熟悉的一个注入 URL参数注入:主要是通过“&”注入一些额外的参数 跨站脚本(xss):(一般窃取cookie) 反射式: 存储式: 跨站请求伪造(CSRF): 伪造一个URL,让有权限的用户去点击,执行一些有害操作。
Web漏洞
weixin_42374938的博客
08-07 582
所谓的sql注入,就是通过把sql命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令。具体来说,它是利用现有应用程序将恶意的sql命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入恶意sql语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行sql语句。根据相关技术原理,sql注入可以分为平台层注入和代码层注入。前者是由不安全的数据库配置或数据库平台的漏洞所致;......
web漏洞概述
06-13
Web漏洞是网络安全领域的一大威胁,尤其对于依赖互联网的业务和服务来说。这些漏洞可能导致数据泄露、系统瘫痪甚至完全控制服务器。下面将详细讨论标题和描述提到的几个关键的Web漏洞类型及其防范方法。 首先,...
Web应用安全:上传漏洞概述.pptx
06-20
Web应用安全:上传漏洞概述.pptx
第一章 Web安全概述1
08-03
Web安全概述 Web安全是一种保障Web应用程序和网站免受恶意攻击和非法访问的安全措施。随着互联网的普及和Web应用程序的广泛应用,Web安全变得越来越重要。 1. Web安全的重要性 Web安全的重要性体现在以下几个方面...
web常见漏洞思维导图.rar
03-04
"web常见漏洞思维导图.rar"这个压缩包文件提供了对这些漏洞的系统性概述,涵盖了漏洞的原理和利用方式,这对于渗透测试和网络安全防护具有极大的价值。下面将详细阐述其涉及的知识点。 首先,Web常见漏洞主要包括...
软件测试Web安全测试概述WEB的多多少少
03-23
WEB概述软件测试Web安全测试概述WEB的多多少少1.web应用安全与系统安全能取得某个系统的完全使用权是黑客的终极目标,... web应用的漏洞则不然,要想单独通过web漏洞得相关系统的完全使用权是相当困难的。但是
WEB安全漏洞
kxindouhao5491的博客
04-07 1700
一、常见的安全事件 关键字: Hacked by 暗链--修改网页 webshell--上传后门 web安全可分为 客户端: XSS, CSRF, 点击劫持, URL跳转 服务器: SQL注入, 命令注入, 文件操作类 二、客户端漏洞 2. 最常见的XSS漏洞: 2.1 什么是XSS? 跨站脚本! 概念: 黑客通过“HT...
11.WEB漏洞-必懂知识点详解
山兔的博客
09-11 368
一、WEB漏洞的类型: SQL注入:通过这个漏洞可以取到网站或数据库里面的数据(帮助作用,无法取网站权限)。 文件上传: XSS跨站:得网站后台权限。 文件包含、反序列化、代码执行、逻辑安全、未授权访问、CSRF、SSRF、目录遍历、文件读取、文件下载、命令执行、XXE安全、其他补充。 二、漏洞等级划分 低危漏洞:信息取。 漏洞:有一部分影响,数据泄露但是没有太大影响。 高危漏洞取网站权限和数据库信息。 三、漏洞重点内容 SRC:漏洞理解 实战:权限取 CTF:SQL注入、文件上传、反序列
web安全漏洞种类
dzqxwzoe的博客
03-15 462
SQL注入:SQL注入(SQL Injection),是一个常见的发生于应用程序和数据库之间的web安全漏洞,由于在开发过程的设计不当导致程序忽略了检查,没有有效的过滤用户的输入,是攻击者可以向服务器提交不正常的访问数据(即恶意的的SQL命令代码),程序在接收后错误的将攻击者的输入作为代码语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者静心构造的恶意代码,从而绕过验证机制和权限检查,达到取得隐藏数据或覆盖关键的参值,甚至执行数据库主机操作系统命令的目的。应对方案:1、严格限制web应用的数
Web 应用常见漏洞利用与防护
zzxl212333的博客
03-22 918
数据库基本单位数据库服务器∶是用来运行数据库服务的一台电脑。数据库:(一个数据库服务器里面有可以有多个数据库。数据表∶例如在游戏数据库,用来区分游戏不同的数据。数据字段∶也叫数据列。就是我们日常所见表格里面的列。数据行∶真正的数据存在每一个表的行里面。常用的SQL语句。
二十三种Web漏洞简述
weixin_46849264的博客
03-25 2133
二十三种Web漏洞简述。
Web安全常见漏洞原理、危害及其修复建议
最新发布
xnxqwzy的博客
06-20 1468
(当文件上传时,如果服务端的脚本语言没有对上传的文件进行检查和过滤,那假如,渗透者直接上传恶意代码文件,那么就有可能直接控制整个网站,或者说以此为跳板,直接拿下服务器,这就是文件上传漏洞。②csrf攻击之所以能成功,是因为攻击者伪造用户的请求,所以抵御csrf的关键在于:在请求放入攻击者不能伪造的请求,例如,可以在HTTP请求加入一个随机产生的token,并在服务器端验证token,如果请求没有token或者token内容不正确,则认为请求可能是csrf攻击,从而拒绝该请求。
常见web安全漏洞介绍
xunyunai9767的博客
11-16 2666
介绍常见web漏洞,参考OWASP top10漏洞,pikachu靶场
常见web漏洞
weixin_52526216的博客
05-31 4329
SQL注入漏洞 原理:网站对用户输入的数据没有经过严格的过滤导致带入到数据库执行造成数据库信息泄露 注入类型: 按注入点类型: 数字型、字符型、搜索型; 按数据库类型: Access、MsSQL、MySQL、Oracle、DB2等; 按提交方式: GET、POST、Cookie、HTTP头、XFF; 按执行效果分:布尔盲注、时间盲注、报错注入、联合注入、堆叠查询注入; 数据库信息泄露/GetShell(Webshell)【SQLI-Labs】 XSS跨站脚本攻击 原理:攻击者web
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值