Web渗透基础小总结
Web渗透框架概述主要组成: 1. web语言代码(脚本) 2. web程序 3. 数据库程序 Web语言常见几大类 1. HTML:超文本标记语言,标准通用编辑语言下的一个应用 2. PHP:超文本预处理器,是一种通用开源脚本语言 3. ASP,ASP.NET : ASP.NET又称ASP+,不仅仅是ASP的简单升级,而是微软推出的新一代脚本语言 4. JAVE扩展名,JSP : Java是一个广泛使用的网络编程语言,他是一种新的计算机概念 Web服务器扩展 1. apche 2. Microsoft IIS 3. Nginx 4. Linux 等等 数据库服务程序 1.Access : 是由微软发布的关系数据库管理系统 2.MYSQL: 是一个关系型数据库管理系统,由瑞典Mysql AB开发 3.MS SQL: 是微软的SQLServer数据库服务平台,提供数据库的从服务器到终端的完整的解决方案,其中数据库服务器部分是一个数据库管理系统,用于建立、使用、和维护数据库。 4.ORACLE: oracle database,又称oracle RDBMS,简称Oracle。是甲骨文公司的一款关系数据库管理系统 等等 常见的数据库+脚本组合 1. ASP+ACCESS 2. Php+mysql 3. ASPX+MSSQL 4. Jsp+Oracle、DB2
常见的web漏洞原理脚本概述 脚本程序在执行时,是由系统·的一个解释器,将其一条条的翻译成机器可识别的指令,并按程序顺序执行 脚本渗透 脚本渗透是指网页编辑语言(asp php aspx jsp)进行攻击的行为,我们可以通过脚本渗透来得到我们想要得到的一些信息。 SQL注入漏洞 SQL注入就是一部分程序员在编写代码的时候,没有对用户书如数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序的放回结果,获取某些想得知的数据 文件上传漏洞 由于对上传文件类型未过滤或过滤机制不严,导致恶意用户可以上传脚本文件,通过上传文件可达到控制网站权限的目的。 XSS跨站脚本攻击 恶意攻击者往web页面里面插入Script代码,当用户浏览该页面时,嵌入其中的代码就会被执行,从而达到恶意攻击用户的特殊目的(抓肉鸡,留后台等) CSRF伪跨站请求 XSS利用站点内的信任用户,而CSRF则是伪装来自受信任用户的请求来利用受信任的网站。 找后台 弱口令与表单破解 管理员设置简单密码,使我们更轻易拿到密码 信息泄露与目录遍历 由于软件或者应用在编写,安全,配置的过程中没有充分容错或配置不当,导致服务器相关信息泄露。 框架与中间件漏洞 常见的框架:Spring,struts2 ,hibernate,thinkPHP,zend等 常见的中间件:tomcast, JBOSS,Weblogic 中间件是提供系统软件和应用软件之间连接的软件,以便于各部件之间的沟通 IIS写权限漏洞 写入权限,用户可以写入文件到网站目录,也就是我们所说的写权漏洞 暴库 暴库就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法的下载到本地 社会工程学 社会工程学陷阱就是通常以交谈、欺骗、假冒或者是口语等方式,从合法用户中套取用户信息秘密(欺骗的艺术等) 旁注 利用同一台主机上面不同的网站漏洞得到webshell,从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。 0day 在计算机领域中,0day通常是指还没有补丁的漏洞,而0day攻击则是指利用各种漏洞进行的攻击· 在线编辑器漏洞 ewebeditor FCKeditor 下载数据库 |
| 小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!
本文出自:https://www.toutiao.com/a6756117338069664269/ |
Web渗透基础小总结的更多相关文章
- 零基础到精通Web渗透测试的学习路线
小编相信很多新手都会遇到以下几个问题 1.零基础想学渗透怎么入手? 2.学习web渗透需要从哪里开始? 这让很多同学都处于迷茫状态而迟迟不下手,小编就在此贴给大家说一下web渗透的学习路线,希望对大家 ...
- KALI LINUX WEB 渗透测试视频教程—第十九课-METASPLOIT基础
原文链接:Kali Linux Web渗透测试视频教程—第十九课-metasploit基础 文/玄魂 目录 Kali Linux Web 渗透测试视频教程—第十九课-metasploit基础..... ...
- 20145319 《网络渗透》web安全基础实践
20145319 <网络渗透>web安全基础实践 问题回答 Sql注入攻击原理,如何防御 攻击原理:由于对于用户输入并没做出相应限制,因此可以通过构造特定的sql语句,达到自身的一些非法目 ...
- 【渗透课程】第一篇-Web渗透需要接触的语言
---恢复内容开始--- 上一篇我们讲过了,Web渗透的基本原理,在原理中我们也提到了Web应用程序(脚本语言),本章就谈到了Web渗透要涉及的语言. 涉及语言: 1.html:是前段语言的其中一个, ...
- 2017-2018-2 20155303『网络对抗技术』Final:Web渗透获取WebShell权限
2017-2018-2 『网络对抗技术』Final:Web渗透获取WebShell权限 --------CONTENTS-------- 一.Webshell原理 1.什么是WebShell 2.We ...
- 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗
1 基础知识1.1 网络熟悉常见网络协议:https://www.ietf.org/standards/rfcs/1.2 操作系统1.3 编程2 恶意软件分析2.1 分类2.1.1 木马2.1.2 B ...
- web渗透学习目录
一,基础学习 01.基础学习 [[编码总结]] [[JSON三种数据解析方法]] [[js加密,解密]] [[Internet保留地址和非保留地址.内网和公网.VNC和UltraVN]] 代理 [[S ...
- Web编程基础--HTML、CSS、JavaScript 学习之课程作业“仿360极速浏览器新标签页”
Web编程基础--HTML.CSS.JavaScript 学习之课程作业"仿360极速浏览器新标签页" 背景: 作为一个中专网站建设出身,之前总是做静态的HTML+CSS+DIV没 ...
- Kali Linux渗透基础知识整理(四):维持访问
Kali Linux渗透基础知识整理系列文章回顾 维持访问 在获得了目标系统的访问权之后,攻击者需要进一步维持这一访问权限.使用木马程序.后门程序和rootkit来达到这一目的.维持访问是一种艺术形式 ...
随机推荐
- 37)PHP,获取数据库值并在html中显示(晋级2)
下面的是上一个的改进版,我知道为啥我的那个有问题了,因为我的__construct()这个函数的里面的那个变量名字搞错了,哎,这是经常犯得毛病,傻了吧唧,气死我了. 之前的那个变量的代码样子: cla ...
- 吴裕雄--天生自然C语言开发:共同体
union [union tag] { member definition; member definition; ... member definition; } [one or more unio ...
- 关于Java中反射的总结
Java是面向对象的编程语言,万物皆对象,反射技术就是把类声明.类中的字段声明.方法声明.构造函数声明等都看成是对象,从而可以把类中的各个部分拆解出来单独处理,反射技术主要用来编写通用功能,平时编程使 ...
- npm基本语法
npm -version 查看npm版本 npm install <name> 安装node.js的依赖包 npm install <name> @3.0.6 安装版本为3 ...
- 4.Redis持久化方案
1.1 RDB持久化 RDB方式的持久化是通过快照(snapshotting)完成的,当符合一定条件时Redis会自动将内存中的数据进行快照并持久化到硬盘. RDB是Redis默认采用的持久化方式. ...
- Angular开发者指南(二)概念概述
template(模板):带有附加标记的模板HTML directives(指令):使用自定义属性和元素扩展HTML model(模型):用户在视图中显示的数据,并与用户进行交互 scope(作用域) ...
- 如何查看Linux系统下程序运行时使用的库?
Linux系统下程序运行会实时的用到相关动态库,某些场景下,比如需要裁剪不必要的动态库时,就需要查看哪些动态库被用到了. 以运行VLC为例. VLC开始运行后,首先查看vlc的PID,比如这次查到的V ...
- spring创建bean异常
org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'requestMappi ...
- yaml文件的格式
后缀为.yml 格式一般就是key:空格 value 这里的value可以是 普通数据(数字,字符串) ---------------------------------------- ...
- 吴裕雄--天生自然 JAVASCRIPT开发学习:对象 实例(3)
<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title> ...