日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網(wǎng)為廣大站長提供免費收錄網(wǎng)站服務(wù),提交前請做好本站友鏈:【 網(wǎng)站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(wù)(50元/站),

點擊這里在線咨詢客服
新站提交
  • 網(wǎng)站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

Web滲透基礎(chǔ)Web滲透框架概述常見的web漏洞原理

發(fā)布時間:2023-07-03 15:45:55 作者:網(wǎng)友整理



Web滲透框架概述

主要組成:

1. web語言代碼(腳本)

2. web程序

3. 數(shù)據(jù)庫程序

Web語言常見幾大類

1. html:超文本標(biāo)記語言,標(biāo)準(zhǔn)通用編輯語言下的一個應(yīng)用

2. php:超文本預(yù)處理器,是一種通用開源腳本語言

3. ASP,ASP.NET : ASP.NET又稱ASP+,不僅僅是ASP的簡單升級,而是微軟推出的新一代腳本語言

4. JAVE擴(kuò)展名,JSP : JAVA是一個廣泛使用的網(wǎng)絡(luò)編程語言,他是一種新的計算機概念

Web服務(wù)器擴(kuò)展

1. apche

2. Microsoft IIS

3. Nginx

4. linux

等等

數(shù)據(jù)庫服務(wù)程序

1.Access : 是由微軟發(fā)布的關(guān)系數(shù)據(jù)庫管理系統(tǒng)

2.MySQL: 是一個關(guān)系型數(shù)據(jù)庫管理系統(tǒng),由瑞典Mysql AB開發(fā)

3.MS SQL: 是微軟的SQLServer數(shù)據(jù)庫服務(wù)平臺,提供數(shù)據(jù)庫的從服務(wù)器到終端的完整的解決方案,其中數(shù)據(jù)庫服務(wù)器部分是一個數(shù)據(jù)庫管理系統(tǒng),用于建立、使用、和維護(hù)數(shù)據(jù)庫。

4.ORACLE: oracle database,又稱oracle RDBMS,簡稱Oracle。是甲骨文公司的一款關(guān)系數(shù)據(jù)庫管理系統(tǒng)

等等

常見的數(shù)據(jù)庫+腳本組合

1. ASP+ACCESS

2. Php+mysql

3. ASPX+MSSQL

4. Jsp+Oracle、DB2


 

常見的web漏洞原理

腳本概述

腳本程序在執(zhí)行時,是由系統(tǒng)·的一個解釋器,將其一條條的翻譯成機器可識別的指令,并按程序順序執(zhí)行

腳本滲透

腳本滲透是指網(wǎng)頁編輯語言(asp php aspx jsp)進(jìn)行攻擊的行為,我們可以通過腳本滲透來得到我們想要得到的一些信息。

SQL注入漏洞

SQL注入就是一部分程序員在編寫代碼的時候,沒有對用戶書如數(shù)據(jù)的合法性進(jìn)行判斷,使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序的放回結(jié)果,獲取某些想得知的數(shù)據(jù)

文件上傳漏洞

由于對上傳文件類型未過濾或過濾機制不嚴(yán),導(dǎo)致惡意用戶可以上傳腳本文件,通過上傳文件可達(dá)到控制網(wǎng)站權(quán)限的目的。

XSS跨站腳本攻擊

惡意攻擊者往web頁面里面插入Script代碼,當(dāng)用戶瀏覽該頁面時,嵌入其中的代碼就會被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的(抓肉雞,留后臺等)

CSRF偽跨站請求

XSS利用站點內(nèi)的信任用戶,而CSRF則是偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站。

找后臺

弱口令與表單破解

管理員設(shè)置簡單密碼,使我們更輕易拿到密碼

信息泄露與目錄遍歷

由于軟件或者應(yīng)用在編寫,安全,配置的過程中沒有充分容錯或配置不當(dāng),導(dǎo)致服務(wù)器相關(guān)信息泄露。

框架與中間件漏洞

常見的框架:Spring,struts2 ,hibernate,thinkPHP,zend等

常見的中間件:tomcast, JBOSS,Weblogic

中間件是提供系統(tǒng)軟件和應(yīng)用軟件之間連接的軟件,以便于各部件之間的溝通

IIS寫權(quán)限漏洞

寫入權(quán)限,用戶可以寫入文件到網(wǎng)站目錄,也就是我們所說的寫權(quán)漏洞

暴庫

暴庫就是通過一些技術(shù)手段或者程序漏洞得到數(shù)據(jù)庫的地址,并將數(shù)據(jù)非法的下載到本地

社會工程學(xué)

社會工程學(xué)陷阱就是通常以交談、欺騙、假冒或者是口語等方式,從合法用戶中套取用戶信息秘密(欺騙的藝術(shù)等)

旁注

利用同一臺主機上面不同的網(wǎng)站漏洞得到webshell,從而利用主機上的程序或者是服務(wù)所暴露的用戶所在的物理路徑進(jìn)行入侵。

0day

在計算機領(lǐng)域中,0day通常是指還沒有補丁的漏洞,而0day攻擊則是指利用各種漏洞進(jìn)行的攻擊·

在線編輯器漏洞 ewebeditor FCKeditor

下載數(shù)據(jù)庫

分享到:
標(biāo)簽:滲透 Web
用戶無頭像

網(wǎng)友整理

注冊時間:

網(wǎng)站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網(wǎng)站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網(wǎng)站吧!
最新入駐小程序

數(shù)獨大挑戰(zhàn)2018-06-03

數(shù)獨一種數(shù)學(xué)游戲,玩家需要根據(jù)9

答題星2018-06-03

您可以通過答題星輕松地創(chuàng)建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學(xué)四六

運動步數(shù)有氧達(dá)人2018-06-03

記錄運動步數(shù),積累氧氣值。還可偷

每日養(yǎng)生app2018-06-03

每日養(yǎng)生,天天健康

體育訓(xùn)練成績評定2018-06-03

通用課目體育訓(xùn)練成績評定