美文网首页
04 常见Web漏洞解析

04 常见Web漏洞解析

作者: 夏威夷的芒果 | 来源:发表于2018-11-20 17:17 被阅读12次

XSS

image.png

XSS有三类:

  • 存储型




过程:



  • 反射型




过程如下:


  • DOM型


    错误信息在hash中


    总结:


CSRF漏洞

image.png iframe指向另外地址 打开iframe指向的地址,发现onload事件自动提交表单

点击劫持

通过覆盖不可见的框架舞蹈受害者点击而造成攻击的行为。

前置知识

为啥这两个网址打开的网站一模一样 因为用了iframe
实例
看着好像就一张图

但是实际上有iframe隐藏在图后


按钮重合

如果精心设计通关按钮的话,会让你损失惨重。


调整重合之后将iframe完全透明化即可

URL跳转漏洞

视觉上混淆正规和恶意网站




URL跳转的实现方式
  • header头跳转



  • Js跳转
  • META标签跳转


SQL注入漏洞(服务端安全漏洞)

SQL注入的本质是数据和代码未分离,就是说数据当做了代码来执行。


i不用密码也能登陆成功?为什么改个用户名就可以了?

这就是SQL注入



原理如下:

  • 正常登陆的时候:




  • 使用万能密码登录的时候:


    加了闭合单引号 和 注释符,把后面的password给注释掉了

所谓万能密码就是SQL注入的一种利用方式:




image.png

利用和危害

  • 利用


  • 危害



命令注入

DOS命令

  • ipconfig 查看网络
  • net user 查看系统用户
  • dir "./" 查看当前目录
  • 复合命令 诸如 echo hello & echo world


    echo hello & echo world
ipconfig | find "IPv4"

命令注入的演示



image.png 也可以注入 结果 攻击过程

在构造的时候要转义,比如&转成%26

image.png

相关文章

  • 04 常见Web漏洞解析

    XSS XSS有三类: 存储型 过程: 反射型 过程如下: DOM型错误信息在hash中总结: CSRF漏洞 点击...

  • 文件解析

    一、文件解析漏洞 使用了低版本的,存在漏洞的web服务器。解析漏洞有以下几种: IIS 5.x/6.0解析漏洞 目...

  • 常见的web漏洞

    1.CSRF(Cross-site-request forgery 跨站请求伪造),通常缩写为CSRF或者XSRF...

  • 常见web漏洞排查

    最近在排查一个项目存在的漏洞的时候,补充了一些知识,搜集了一些资料,整理一下。 弱口令漏洞(weak passwo...

  • 文件上传之解析漏洞

    解析漏洞 IIS解析漏洞 IIS6.0在解析文件时存在以下两个解析漏洞 WebDav漏洞 Apache解析漏洞 N...

  • java框架之MybatisSQL注入漏洞

    一、SQL注入漏洞基本原理 在常见的web漏洞中,SQL注入漏洞较为常见,危害也较大。攻击者一旦利用系统中存在的S...

  • web中间件常见漏洞

    参考url: Web中间件常见漏洞总结 - FreeBuf互联网安全新媒体平台 (一) IIS 1、PUT漏洞 ...

  • 跨站脚本漏洞(XSS)基础讲解

    XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,...

  • 跨站脚本漏洞(XSS)基础讲解

    XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,...

  • 跨站脚本漏洞XSS

    XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,...

网友评论

      本文标题:04 常见Web漏洞解析

      本文链接:https://www.haomeiwen.com/subject/qqxxqqtx.html