渗透基础篇 · OWASP-TOP10
OWASP-TOP10,网络空间中常见的10大类型漏洞
- Broken Access Control 访问控制失效
- Cryptographic Failures 加密失效
Injection 注入
用户控制的输入被应用程序解释为实际的命令或参数。
常见的有SQL注入和命令注入
Linux
- whoami
- id
- ifconfig/ip addr
- uname -a
- ps -ef
Windows
- whoami
- ver
- ipconfig
- tasklist
- netstat -an
- Insecure Design 不安全的设计
- Security Misconfiguration 安全配置错误
- Vulnerable and Outdated Component 易受攻击和过时的组件
Identification and Authentication Failures 身份验证和授权失败
Software and Data Integrity Failures 软件和数据完整性失败
JWT伪造,cookie伪造
- Security Logging & Monitoring Failures 安全日志与监控失败
暴力破解账号密码未察觉
- Server-Side Request Forgery (SSRF) 服务器端请求伪造(SSRF)
XML 外部实体 (XXE) 攻击是滥用 XML 解析器/数据功能的漏洞。它通常允许攻击者与应用程序本身可以访问的任何后端或外部系统进行交互,并允许攻击者读取该系统上的文件。它们还可能导致拒绝服务 (DoS) 攻击,或者可能使用 XXE 执行服务器端请求伪造 (SSRF),诱使 Web 应用程序向其他应用程序发出请求。XXE 甚至可能启用端口扫描并导致远程代码执行。
<!DOCTYPE replace [<!ENTITY name "feast"> ]>
<userInfo>
<firstName>falcon</firstName>
<lastName>&name;</lastName>
</userInfo>
XSS:
执行性xss<img src=x onerror=alert('XSS Test')> 事件型xss
获取 Cookie
浙公网安备 33010602011771号