web安全培训笔记
来源:互联网 发布:周末软件测试培训 编辑:程序博客网 时间:2024/04/29 11:55
1.漏洞获取方法
1)扫描器扫描 2)乌云 3)线上服务漏洞
例子:
线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件
2.入侵原因
1)好玩 2)拖库,目的,获得各种账号密码。同样账号在其他地方的密码有可能一致。
3)删文章,挂黑链,不正当竞争攻击
3.常见漏洞
1)sql注入 2)xss
4.一些获得漏洞方法
1)扫描器扫描 2)乌云查看
3)制造页面报错,例如参数加引号,页面报错会展示一些敏感信息,逐步更改参数查看信息变化
4)支付安全,不花钱买入,1分钱买入10份等
通过修改本地页面提交的数据包参数,导致服务器端数据update不对,例如扣钱为负数,
扣钱比实际值少,数量比实际值多等
1)扫描器扫描 2)乌云 3)线上服务漏洞
例子:
线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件
2.入侵原因
1)好玩 2)拖库,目的,获得各种账号密码。同样账号在其他地方的密码有可能一致。
3)删文章,挂黑链,不正当竞争攻击
3.常见漏洞
1)sql注入 2)xss
4.一些获得漏洞方法
1)扫描器扫描 2)乌云查看
3)制造页面报错,例如参数加引号,页面报错会展示一些敏感信息,逐步更改参数查看信息变化
4)支付安全,不花钱买入,1分钱买入10份等
通过修改本地页面提交的数据包参数,导致服务器端数据update不对,例如扣钱为负数,
扣钱比实际值少,数量比实际值多等
0 0
- web安全培训笔记
- web安全培训
- 笔记(米斯特白帽子WEB安全攻防培训第二期)(基础01)
- Web 服务器安全笔记
- web 安全学习笔记
- web安全笔记
- web安全学习笔记
- Web 安全学习笔记
- web安全学习笔记
- web安全学习笔记
- Web安全笔记整理
- CTF夺旗赛培训——Web应用安全
- 米斯特web安全培训第一期课程目录
- 米斯特白帽子WEB安全攻防培训-信息收集
- 米斯特白帽子WEB安全攻防培训-信息收集2
- web安全学习笔记之-脚本安全
- web安全学习笔记之-html5安全
- web安全学习笔记-加密算法
- iOS 画图 和 android 画图对比
- java中用正则表达式解析LRC文件
- 寻找第K大的数的方法总结
- javascript 跳转代码集合(www.jbxue.net)
- 装逼第二弹——Laplace变换的前世今生
- web安全培训笔记
- Marvell面试题
- tee命令使用
- 黑马程序员--Java学习14--多态和内部类
- jquery框架分析-构造jQuery对象初步
- 青春在指尖苍老
- 实时音频方案的演变与设计挑战
- 获取windows 用户列表
- 保“库”之路:Oracle数据库性能保护