Web安全—漏洞整体框架(持续更新)

本文阅读 2 分钟

提要:此篇文章主要总结Web安全学习中需要学习的Web漏洞及掌握漏洞需要必备的基础知识,整体会作为后续学习的提纲。 Web漏洞分为两类:客户端和服务端漏洞。 客户端漏洞: CSRF(跨站请求伪造): SSRF: XSS(跨站脚本攻击) 服务端漏洞:

SQL注入:

原理:前端提交的参数值是恶意SQL语句,后端未进行过滤,被代入后端SQL语句中查询,并在数据库中执行。前后端未对参数值进行限制。

目录遍历:

文件读取: 命令执行: XXE安全:

文件上传

原理:文件上传位置对上传的文件类型未进行过滤或过滤不严。 文件包含 反序列化 代码执行 逻辑安全 未授权访问 综上所观: Web安全中,服务端的漏洞还是占全部漏洞的绝大部分,所以整体需要学习以下知识: 前端:HTML基础,CSS基础,JAVASCRIPT(重要) 数据库:SQL语言基础(重要),ACCESS,MYSQL(常用),SQLSERVER,ORACLE等 中间件配置:IIS,Nginx,Tomcat等 脚本语言:PHP基础,Python基础等脚本语言 网络:HTTP协议(重要),TCP/IP等 操作系统:Linux和Windows常见配置 攻防工具:BurpSuite,SqlMap,Awvs等

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/weixin_44431280/article/details/121778375
-- 展开阅读全文 --
KillDefender 的 Beacon 对象文件 PoC 实现
« 上一篇 02-09
Web安全—逻辑越权漏洞(BAC)
下一篇 » 03-13

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复