web安全知识预备

web安全知识预备

一、前置技能

1. 操作系统

2. 数据库

3. HTTP协议

附:https://www.cnblogs.com/an-wen/p/11180076.html

4. HTML/CSS/JavaScript

这部分属于前端设计内容,无需熟练掌握敲代码的能力,但要能明白各自代码的功能及作用。

如HTML标签对应页面上的哪些元素,CSS样式是干嘛的,JavaScript在前端是什么角色,起到什么样的作用?

5. 程序设计

二、web工具配置

1. 虚拟机

要求会使用VM虚拟机搭建靶场等环境以便模拟场景。

2. BurpSuite

一款WEB应用程序的集成攻击测试平台,要求重点掌握!

内置功能较多,重点需要学会使用proxy(代理截包)、Intruder(自动化攻击)、repeater(重新发包)、decoder(编码解码模块)

3. 菜刀类工具

4. 端口扫描

此类可使用的工具较多,其中需重点了解nmap的使用。

5. 目录爆破

三、攻击类型

1. SQL注入

等等......

具体测试攻击的方法可以使用sqlilab实验

2. XSS(跨站脚本攻击)

目的:

  • 窃取cookie,劫持会话
  • 黑产(诱骗点击,网络钓鱼,木马挖矿)
  • 服务端执行命令(内网扫描,篡改页面)

类型:

  • 反射型(诱骗点击用户弹出自己cookie)
  • 存储型(用户访问被植入的网站,如留言板)
  • DOM型(document object model文档对象模型)

3. 文件上传漏洞

上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。

4. 文件包含漏洞

如果允许客户端输入控制动态包含在服务器端的文件,会导致恶意代码的执行与敏感信息的泄露,主要包括本地文件包含和远程文件包含两种形式。

5. RCE(远程命令执行漏洞)

web应用程序有时需要调用一些系统命令的函数,如PHP中的system,exec,shell-exec等等,当用户能够控制这些函数中的参数时,就可以将恶意参系统命令拼接到正常命令中,从而造成命令注入攻击,造成:继承web应用程序的权限去执行系统命令读写执行文件、反弹shell、控制整个网站甚至整个服务器、进一步内网渗透等危害。

6. XEE注入

由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。

7. SSRF(服务端请求伪造)

一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。

posted @ 2022-03-19 10:13  Sentry_fei  阅读(77)  评论(0编辑  收藏  举报