web安全培训笔记
2014-05-22 17:02
127 查看
1.漏洞获取方法
1)扫描器扫描 2)乌云 3)线上服务漏洞
例子:
线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件
2.入侵原因
1)好玩 2)拖库,目的,获得各种账号密码。同样账号在其他地方的密码有可能一致。
3)删文章,挂黑链,不正当竞争攻击
3.常见漏洞
1)sql注入 2)xss
4.一些获得漏洞方法
1)扫描器扫描 2)乌云查看
3)制造页面报错,例如参数加引号,页面报错会展示一些敏感信息,逐步更改参数查看信息变化
4)支付安全,不花钱买入,1分钱买入10份等
通过修改本地页面提交的数据包参数,导致服务器端数据update不对,例如扣钱为负数,
扣钱比实际值少,数量比实际值多等
1)扫描器扫描 2)乌云 3)线上服务漏洞
例子:
线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件
2.入侵原因
1)好玩 2)拖库,目的,获得各种账号密码。同样账号在其他地方的密码有可能一致。
3)删文章,挂黑链,不正当竞争攻击
3.常见漏洞
1)sql注入 2)xss
4.一些获得漏洞方法
1)扫描器扫描 2)乌云查看
3)制造页面报错,例如参数加引号,页面报错会展示一些敏感信息,逐步更改参数查看信息变化
4)支付安全,不花钱买入,1分钱买入10份等
通过修改本地页面提交的数据包参数,导致服务器端数据update不对,例如扣钱为负数,
扣钱比实际值少,数量比实际值多等
相关文章推荐
- web安全培训笔记
- Web 应用程序的基本安全--学习笔记
- Web 服务器安全笔记
- java安全框架-Shiro学习笔记(五)-Shiro集成Web
- 【安全牛学习笔记】Web扫描器(2)
- 网易杭州研究院信息安全部培训-WEB安全工程师 WEB基础(1)
- 学习笔记----Tomcat 的WEB 安全域
- 【安全牛学习笔记】Web开发中的涉及到的权限问题
- 网络安全培训笔记 (高清大图)
- selenium(webdriver)学习笔记5--处理windows security dialog,安全验证
- Web安全笔记整理
- [原创]Web架构产品安全测试培训及工具介绍
- 安全:Web 安全学习笔记
- web安全培训
- 【图解HTTP笔记】第七章 确保Web安全的HTTPS
- 学习笔记:部署趋势科技企业安全无忧版——服务器端和web控制台的安装(一)
- Web入侵安全测试与对策学习笔记之(三)——攻击客户机之绕过对输入选项的限制
- web安全学习笔记之-oauth简介
- .net培训:ASP.NET MVC OR WebAPI的接口安全
- 【安全牛学习笔记】ACUNETIX WEB VULNERABILITY SCANNER