web漏洞
主要是介绍常见web漏洞的成因,攻击方法,防御方法
Bin&R
这个作者很懒,什么都没留下…
展开
-
web漏洞之SQL注入
目录一、概述1.1什么是SQL注入1.2原理二、分类2.1按照数据提交方式分类2.2按照注入点类型来分类2.3按照执行效果来分类三、注入流程四、验证方法3.1数字型注入验证3.2字符型注入验证五、攻击方法5.1猜解SQL查询语句中的字段数5.2找回显点5.3获取数据库名称5.4查询表名5.5查询字段5.6查信息六、防御方法...原创 2020-04-02 14:16:44 · 448 阅读 · 0 评论 -
web漏洞之文件包含
服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)原创 2020-03-31 17:54:27 · 249 阅读 · 0 评论 -
web漏洞之文件上传
文件上传一、概述1.1描述1.2常见上传位置二、攻击方法2.1分析源码的过滤规则2.2准备工作2.3制作脚本2.4上传文件三、绕过方法3.1客户端校验绕过3.2文件扩展名绕过3.3文件内容检测绕过3.4文件类型限制绕过3.5CMS、编辑器漏洞绕过3.6 .htaccess文件攻击3.7WAF绕过四、防御方法五、危害一、概述...原创 2020-03-25 11:19:23 · 319 阅读 · 0 评论 -
web漏洞之命令执行
目录一、概述1.1何为命令执行1.2产生条件1.2常见命令1.2.1 Windows1.2.2 linux1.3常见命令拼接符二、产生原理三、防御方法四、危害五、php常见危险函数一、概述1.1何为命令执行 攻击者通过web应用可以执行系统命令,从而获得敏感信息,进而控制服务器攻击内网。1.2产生条件 1.应用调用执行命...原创 2020-03-23 13:04:42 · 988 阅读 · 0 评论 -
web漏洞之XXE
目录一、概述1.1什么是XXE?1.2常见位置二、漏洞验证三、攻击方法3.1文件读取3.1.1攻击代码3.1.2攻击效果3.2主机探测3.2.1攻击代码3.2.2攻击效果3.3端口探测3.3.1攻击代码3.3.2攻击效果(这里我们加入了端口号,和之前主机发现不同)3.3代码执行3.4攻击内网3.5DDOS攻击四、防御方法4...原创 2020-03-23 11:23:06 · 468 阅读 · 0 评论 -
web漏洞之CORS
CORS即跨域资源共享,它是一种网络机制,它的出现解决了资源跨域传输的问题,它通过Web浏览器在受控(重点)的情况下通过xmlHttpRequest API执行跨域请求,但是很多开发者在使用时没有考虑到其中蕴含安全风险,容易出现配置错误,导致出现安全漏洞。原创 2020-03-19 13:33:43 · 666 阅读 · 0 评论 -
web漏洞之SSRF
目录一、概述1.1分类1.2相关危险函数二、产生原理三、产生的位置四、漏洞验证五、攻击方法六、防御方法七、绕过方式八、危害一、概述SSRF(Server-Side Request Forgery,服务器端请求伪造):一种由攻击者构造形成由服务端发起请求的一个安全漏洞,通俗来将就是我们利用存在SSRF漏洞的服务器来构造我们所需要的请求数据包得到客户端...原创 2020-03-19 10:56:25 · 452 阅读 · 0 评论 -
web漏洞之CSRF
目录一、概述1.1CSRF和XSS的区别二、攻击原理三、攻击方法四、绕过方式五、防御方式5.1服务端防御5.2其他防御六、危害一、概述 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已...原创 2020-03-11 18:13:26 · 121 阅读 · 0 评论 -
web漏洞之XSS
目录一 、XSS概述1.1分类二、反射型XSS2.1攻击原理2.2攻击方法2.3绕过方法2.4防御方法2.5危害三、存储型XSS3.1攻击原理3.2攻击方法3.3绕过方法3.4防御方法3.5危害四、DOM型XSS4.1原理4.2攻击方法4.3防御方法4.4危害一 、XSS概述 XSS是跨站脚本攻击...原创 2020-03-11 10:59:16 · 184 阅读 · 0 评论