web入門文章一直想寫一篇,但是一直沒寫,也猶豫了很多,畢竟對於入門文章太多了,但是我還是想寫一篇,一篇非同尋常的入門到高階.可能很多人已經入門了,但是我還是想發表一下自己的看法,如果有錯誤還希望大佬指出
可能對於很多剛入門的朋友感到迷茫,或者經常學習學著就沒有方向,自己一直處於入門階段,我現在也一直是這個階段,我一直都在這個階段,所以我有很多話要說,接下來步入正題,這是一篇毫無技術性的文章,但是我相信會給你帶來不一樣的啟示。
常見的web漏洞就sql注入,xss,檔案上傳,邏輯漏洞等等,我們先拿sql注入先說吧,sql注入圍繞著最多的我認為就是mysql當然不僅僅是這個,我們應該學會什麼?第一,需要學會手工注入,這我認為是基礎的,手工注入我們就需要談到sqli-labs這個靶場了,最好把這個靶場吃透,手工注入就是為了過waf,如果沒有waf直接工具了,那還需要手工啊,手工知道過濾了什麼後寫指令碼然後sqlmap一跑,就出來了,其實乙個知識點就可以延伸很多,比如waf,不同的waf有不同的bypass方法。還有為什麼一般書籍都會把資訊收集放在第一位?因為它真的非常重要,當你資訊收集之後就相當於你想跟乙個人交往,你已經了解了他的所有,那是不是交往會更加順利,他也會更加喜歡你呢?的確是的,資訊收集就這麼重要,當你全部了解之後說不定後台密碼一猜就猜到了,那還需要那麼多事啊,是不是?其實我並不想告訴大家怎麼找到漏洞,我只想告訴你們應該怎麼學習並且從入門到高階跨過這個門檻,這並無技術可言,只是簡簡單單的方法。
WEB安全入門
黑客通過輸入提交 特殊資料 特殊資料在資料流的每個層處理,如果某個層沒處理好,在輸出的時候,就會出現相應層的安全問題。精彩舉例 1.如果在作業系統層上沒處理好,比如linux的bash環境把 特殊資料 當做 指令執行時,就產生了 os命令執行的安全問題,這段 特殊資料 可能長得如下這般 rm rf ...
Web安全入門 sqlmap
列舉一下sqlmap簡單命令和相對應的功能 檢測注入點 sqlmap.py u 目標url 檢測有哪些資料庫 sqlmap.py u 目標url dbs 檢測當前使用的哪個資料庫 sqlmap.py u 目標url current db 檢測當前使用者 sqlmap.py u 目標url curre...
安全 Mysql安全建議。
使用最低許可權賬戶執行服務可減小mysql天生漏洞的影響。受限賬戶將無法訪問與mysql無關的資源,例如作業系統配置。使用非root和非sudo許可權使用者啟動mysql服務 使用此選項,會導致所有客戶端都對所有資料庫具有不受限制的訪問許可權。編輯mysql配置檔案 my.cnf,刪除skip gr...