web安全培训笔记
浏览数:23 /
时间:2015年06月09日
1.漏洞获取方法
1)扫描器扫描 2)乌云 3)线上服务漏洞
例子:
线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件
2.入侵原因
1)好玩 2)拖库,目的,获得各种账号密码。同样账号在其他地方的密码有可能一致。
3)删文章,挂黑链,不正当竞争攻击
3.常见漏洞
1)sql注入 2)xss
4.一些获得漏洞方法
1)扫描器扫描 2)乌云查看
3)制造页面报错,例如参数加引号,页面报错会展示一些敏感信息,逐步更改参数查看信息变化
4)支付安全,不花钱买入,1分钱买入10份等
通过修改本地页面提交的数据包参数,导致服务器端数据update不对,例如扣钱为负数,
扣钱比实际值少,数量比实际值多等
1)扫描器扫描 2)乌云 3)线上服务漏洞
例子:
线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件
2.入侵原因
1)好玩 2)拖库,目的,获得各种账号密码。同样账号在其他地方的密码有可能一致。
3)删文章,挂黑链,不正当竞争攻击
3.常见漏洞
1)sql注入 2)xss
4.一些获得漏洞方法
1)扫描器扫描 2)乌云查看
3)制造页面报错,例如参数加引号,页面报错会展示一些敏感信息,逐步更改参数查看信息变化
4)支付安全,不花钱买入,1分钱买入10份等
通过修改本地页面提交的数据包参数,导致服务器端数据update不对,例如扣钱为负数,
扣钱比实际值少,数量比实际值多等
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。
