![](https://img-blog.csdnimg.cn/20201014180756780.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web漏洞介绍
想走安全的小白
这个作者很懒,什么都没留下…
展开
-
渗透测试技术----常见web漏洞--SQL注入攻击原理及防御
一、SQL注入攻击介绍1.SQL注入攻击简介SQL注入就是指Web应用程序对用户输入数据的合法性没有进行判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库中查询,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。一般情况下,开发人员并不知道在运行过程中用户需要使用什么语句查询什么内容,这样开发人员只能通过动态的构造SQL语句来满足用户的需求,这样用户传入的参数就是用户可控...原创 2019-08-18 17:11:37 · 1330 阅读 · 0 评论 -
渗透测试技术----常见web漏洞--SQL盲注攻击原理及防御
一、SQL盲注攻击介绍1.SQL盲注简介盲注是在SQL注入攻击过程中,服务器关闭了错误回显,我们单纯通过服务器返回的简单内容的变化来判断服务器是否存在注入。2.SQL盲注的方法(boolean-based)boolean型注入:通过页面的返回内容是否正确来验证是否存在着注入(time-based)时间型注入:通过SQL语句的处理时间的不同来判断是否存在注入,时间型注入可以使用be...原创 2019-08-19 00:40:40 · 3492 阅读 · 3 评论 -
渗透测试技术----常见web漏洞--文件上传攻击原理及防御
一、文件上传漏洞介绍1.文件上传漏洞简介在现在的互联网中,上传文件是一种常见的功能,用户可以上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用收到的风险就越大,用户可以通过上传一些恶意脚本到服务器,这些恶意脚本又被称为WebShell,WebShell具有很强大的功能,可以获取网站的权限,比如查看服务器目录、服务器中的文件、执行系统命令等。2.文件上传漏洞的...原创 2019-08-20 09:18:05 · 2487 阅读 · 0 评论 -
渗透测试技术----常见web漏洞--暴力破解原理及防御
一、暴力破解漏洞介绍1.暴力破解简介暴力破解的产生原因是因为服务器端没有做限制,导致攻击者可以通过暴力破解的手段破解用户所需要的信息,如用户名、密码、验证码等。暴力破解需要有庞大的字典,暴力破解的关键在于字典的大小。2.暴力破解的原理暴力破解的原理就是使用字典中的内容进行一一尝试,如果匹配成功了,提示该用户名密码正确,如果匹配失败,那么会继续进行尝试。二、BurpSuite暴力破...原创 2019-08-15 21:00:58 · 5563 阅读 · 0 评论 -
渗透测试技术----常见web漏洞--文件包含攻击原理及防御
一、文件包含漏洞介绍1.文件包含简介开发者将相同的函数写进单独的文件中,需要使用某个函数时直接调用此文件,无需再次编写。这种文件调用的过程称为文件包含。2.文件包含漏洞简介开发人员为了使代码更加灵活,会将包含的文件设置为变量,用来进行动态调用,从而导致客户端可以调用一个恶意文件,这就会造成文件包含漏洞。二、文件包含漏洞原理由于开发人员编写源码时可将重复使用的代码写入到单个文件...原创 2019-08-20 20:18:32 · 3397 阅读 · 0 评论 -
渗透测试技术----常见web漏洞--命令执行原理及防御
一、命令执行漏洞介绍1.命令执行漏洞简介命令执行漏洞时指服务器没有对执行的命令进行过滤,用户可以随意执行系统命令,命令执行漏洞属于高危漏洞之一,也属于代码执行的范围内。2.命令执行漏洞的原理应用程序有时需要调用一些执行系统命令的函数,如在PHP中,使用System()、exec()、shell_exec()、passthru()、popen()、proc_popen()等函数可以执行...原创 2019-08-15 20:54:55 · 2603 阅读 · 0 评论 -
渗透测试技术----常见web漏洞--跨站脚本攻击原理及防御
一、跨站脚本攻击介绍1.跨站脚本攻击简介跨站脚本攻击(Cross-Site Scripting)简称为XSS(本来为CSS,但是与前端语言CSS容易产生歧义,故取名为XSS),XSS是一种针对于网站应用程序(Web客户端)的安全漏洞攻击技术,是代码注入的一种,它允许攻击者将恶意JS代码注入到网页,这样其他用户在访问网页时就会受到影响。攻击者利用XSS代码攻击成功后,可能得到一些高权限来执行一...原创 2019-08-16 23:03:07 · 3146 阅读 · 1 评论 -
渗透测试技术----常见web漏洞--跨站请求伪造攻击原理及防御
一、跨站请求伪造攻击介绍1.跨站请求伪造攻击简介跨站请求伪造(Cross-site request forgery)简称为CSRF,这是一种对网站的恶意利用。CSRF实际上就是攻击者通过各种方法伪装成目标用户的身份,欺骗服务器,进行一些非法操作,但是这在服务器看来却是合法的操作。2.CSRF与XSS的区别尽管CSRF听起来很像XSS,但是却又与XSS有本质的区别。最本质的区别就是XS...原创 2019-08-18 00:55:34 · 1572 阅读 · 1 评论