WEB漏洞知识点介绍

news2024/12/24 8:29:46

在这里插入图片描述

简要说明以上漏洞危害情况

SQL注入:对应网站数据库权限,通过这个漏洞可以获取到网站数据库里面的数据,范围不同权限不同;
文件上传:找到文件上传的漏洞大部分可以直接获取到网站权限
xss跨站:围绕网站管理员的登录凭据(cookie),一般获得网站后台权限,不能直接获得网站权限或数据库权限;

简要说明以上漏洞等级划分

高危:sql注入,文件上传,文件包含,代码执行等

简要说明以上漏洞重点内容

CTF:SQL注入,反序列化,文件上传,代码执行
SRC:全部
红蓝对抗:权限问题,文件上传,注入,代码执行

简要说明以上漏洞现实问题

sql注入漏洞:获得数据库的权限,进而危害到网站权限
目录遍历漏洞:可以得到文件夹的结构,文件名,文件夹名,但是不能得到文件的内容
文件读取漏洞:不能得到目录结构,但是可以得到单个文件的内容
文件上传漏洞:可以直接上传后门,获得网站权限

文件下载漏洞

根据下载链接得到参数及其加密形式,然后在下载一个文件测试,将两个链接比对不同的部分;然后将自己想要尝试下载的文件进行加密,拼接到下载链接的参数部分,进行下载测试;
应该配合目录遍历漏洞
在这里插入图片描述

目录扫描工具
https://github.com/maurosoria/dirsearch

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1945495.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

运维锅总浅析网络攻击与防范

本文介绍常见的网络攻击手法及防御措施,并进一步介绍如何进行安全教育和培训、攻击溯源。希望对您提高网络安全防范意识有所帮助! 一、常见的网络攻击手法 网络攻击手法多种多样,以下是一些常见的网络攻击手法及其基本原理: 1.…

MarkTool之TCP客户端

TCP客户端,主要作用是与TCP服务端连接进行数据通讯 1、连接参数就2个,服务器IP和服务器Port,参数设置好,再点连接则会连接成功 2、接收数据和发送数据的参数设置,有16进制,有字符,有原始数据&a…

Linux:基础命令学习

目录 一、ls命令 实例:-l以长格式显示文件和目录信息 实例:-F根据文件类型在列出的文件名称后加一符号 实例: -R 递归显示目录中的所有文件和子目录。 实例: 组合使用 Home目录和工作目录 二、目录修改和查看命令 三、mkd…

httpx,一个网络请求的 Python 新宠儿

大家好!我是爱摸鱼的小鸿,关注我,收看每期的编程干货。 一个简单的库,也许能够开启我们的智慧之门, 一个普通的方法,也许能在危急时刻挽救我们于水深火热, 一个新颖的思维方式,也许能…

项目实战二

Git 服务器 公共代码平台GitLab 配置gitlab 1.设置管理员帐号密码 2.让程序员传代码到20主机上需要配置: 创建用户 mark 1234.com 创建用户组devops 然后把mark 添加到devons 创建项目 http://192.168.88.20/devops/myproject.git 3.客户端操作&#x…

【Linux】—— 进程的基本概念、PCB、fork

🌏博客主页:PH_modest的博客主页 🚩当前专栏:Linux跬步积累 💌其他专栏: 🔴 每日一题 🟡 C跬步积累 🟢 C语言跬步积累 🌈座右铭:广积粮&#xff0…

数据结构之二叉树详解及遍历算法(C/C#/C++)

文章目录 一、二叉树的基本概念二、二叉树的遍历1. 前序遍历2. 中序遍历3. 后序遍历 三、C语言实现四、C#语言实现五、C语言实现总结 当涉及到数据结构中的二叉树及其遍历方式时,了解如何正确操作和遍历二叉树是至关重要的。以下是关于二叉树及其三种常见遍历方式&a…

现实版的《农夫与蛇》,我给你三连支持,你说我限你流。给你提供资源,你背后骂我们?

文章目录 一、如何上热榜&#xff1f;农夫与蛇的故事1.1 故事之始——遇见“蛇”1.2 退群后——反咬“农夫” 二、事情大发展&#xff01;“我要轰炸你”&#xff01;三、报警不成就开始写文章污蔑四、关于技术交流群五、关于&#x1f34a;易编橙终身成长社群</font> 一、…

ActiViz实战:二维纹理贴图vtkTexture

文章目录 一、效果预览二、基本概念三、功能特性四、与C++不同五、完整示例代码一、效果预览 二、基本概念 vtkTexture是VTK(Visualization Toolkit)中用于纹理映射的一个类,它允许用户将二维图像(纹理)贴到三维物体的表面上,从而增加场景的真实感和细节。 纹理映射:是一…

【JavaEE初阶】线程的状态

目录 &#x1f4d5; 线程的状态 &#x1f333; 观察线程的所有状态 &#x1f6a9; NEW 状态 &#x1f6a9; TERMINATED 状态 &#x1f6a9; RUNNABLE 就绪状态 &#x1f6a9; WAITING 状态 &#x1f6a9; TIME_WAITING 状态 &#x1f6a9; BLOCKED 状态 &#x1f384;…

SpringCLoud OpenFeign的使用介绍

Spring Cloud OpenFeign使用介绍 文章目录 Spring Cloud OpenFeign使用介绍导引1. 简单介绍2. 操作方式3. 参数传递3.1 传递单个参数3.2 传递多个参数3.3 传递对象3.4 传递JSON类型参数 4. 最佳实践 导引 在之前的文章中&#xff0c;我们使用过RestTemplate来进行远程调用&…

云动态摘要 2024-07-23

给您带来云厂商的最新动态,最新产品资讯和最新优惠更新。 最新优惠与活动 数据库上云优选 阿里云 2024-07-04 RDS、PolarDB、Redis、MongoDB 全系产品新用户低至首年6折起! [免费体验]智能助手ChatBI上线 腾讯云 2024-07-02 基于混元大模型打造,可通过对话方式生成可视化…

docker笔记4-部署

docker笔记4-部署 一、部署nginx二、部署Tomcat三、部署ESKibana3.1 部署ES3.2 部署kibana 一、部署nginx docker search nginx #搜索nginx的最新版本docker pull nginx #这里可以指定nginx版本&#xff0c;如果不指定&#xff0c;那么就拉取最新版本latestdocker run -d --na…

pikachu Fileinclusion(local)

随便选择一个都试试 发现url上数字会变 发现文件名确实是file1.php~file5.php 那么会不会还有别的burp抓包选中数字 设置6-100的爆破 strat attack 678异常还有个100也是 先改一下试试看 其他的会报错 但是通过这我们可以得到路径 先写一个 下一步 读取系统文件 windows系统肯定…

TCP客户端connect断线重连

文章目录 TCP客户端connect断线重连1、为什么要断线重连2、实现代码 TCP客户端connect断线重连 1、为什么要断线重连 客户端会面临服务器崩溃的情况&#xff0c;我们可以试着写一个客户端重连的代码&#xff0c;模拟并理解一些客户端行为&#xff0c;比如游戏客户端等. 考虑到…

并发编程面试题0

并发编程 1、并行和并发有什么区别&#xff1f; 并行和并发都是指多个任务同时执行的概念&#xff0c;但是它们之间有着明显的区别 并行&#xff1a;多个任务在同一时间同时执行&#xff0c;通常需要使用多个处理器或者多核处理器来实现。例如&#xff0c;一个多核CPU的计算机…

国内大陆地区huggingface连接不上的解决方案

简介 本文主要介绍国内大陆地区huggingface连接不上的解决方案,希望能对学习大模型的同学们有所帮助。 1. 背景 最近有不少同学反应无法正常下载huggingface的模型文件,亲自尝试使用git clone下载huggingface上的大模型文件时,也同样无法正常下载,以Meta-Llama-3-8B为例…

美食地图开发

调用地图接口展示数据库录入的不同类别地址信息&#xff0c;提供导航服务&#xff0c;手机端电脑端自适应。 语音介绍使用微软的tts接口可选不同语音性别生成

【数据结构】AVL树(图文解析 + 代码实现)

目录 1、AVL树的概念 2、AVL树结点的定义 3、AVL树的插入 4、AVL树的旋转 4.1 左单旋 4.2 右单旋 4.3 右左双旋 4.4 左右双旋 5、AVL树的验证 6、AVL树的性能 前面对map/multimap/set/multiset进行了简单的介绍&#xff0c;会大仙&#xff0c;这几个容器有个共同点是…

力扣 二分查找

二分查找基础篇。 题目 class Solution {public int searchInsert(int[] nums, int target) {int l 0, r nums.length - 1;while(l < r) {int mid l((r-l)>>1);//(lr)/2if(nums[mid]<target)lmid1;else rmid-1;}return l;//处理边界&#xff0c;设定数组的左半…