基础知识
常见web安全问题:
- xss跨站脚本攻击
- sql注入
- 文件上传
- 文件下载
- 越权漏洞
- xml外部实体类注入
web安全漏洞分类
输入输出验证不充分 sql注入、xss、csrf、目录穿越、文件上传、代码注入、命令注入、信息泄漏、整数溢出、……
设计缺陷 越权漏洞、非授权对象引入用、业务逻辑缺陷
环境缺陷 框架漏洞、基础环境漏洞
web攻击流程demo
处理原则
一切输入都是有害的!!!输出也不安全!
宁可错杀一千,不可放过一个!
谷歌黑语法
site
inurl
intext
intitle
filetype
工具
- 端口扫描:nmap
- 信息探测:御剑、DirBuster
- 抓包工具:
Burpsuite:拦截、抓包、改包、重放(有丢包问题)
Fiddler:拦截、抓包、改包、重放