什麼是漏洞漏洞是指乙個系統存在的弱點或缺陷,系統對特定威脅攻擊或危險事件的敏感性,或進行攻擊威脅的可能性。漏洞可能來自應用軟體或作業系統設計時的缺陷或編碼時產生的錯誤,也可能來自業務在互動處理過程中的設計缺陷或邏輯流程上的不合理之處。這些缺陷,錯誤或不合理之處可能被有意,無意地利用,從而對乙個組織的資產或執行造成不利影響,如資訊系統被攻擊或控制,重要資料被竊取,使用者資料被篡改,系統被作為入侵其他主機系統的跳板等。從目前發現的漏洞來看,應用軟體中的漏洞遠遠多於作業系統中的漏洞,特別是web應用系統中的漏洞更是佔資訊系統漏洞中的絕大多數。
web漏洞分類(每個人對於web漏洞分類都會有自己的理解,書上的內容簡單參考即可
像ssrf 伺服器端請求偽造這種漏洞都沒有寫進去,感覺過於泛泛而談了hhh
web 滲透 手動挖掘漏洞
使用常用弱口令 基於字典的密碼暴力破解 測試是否鎖定賬號 測試基於手機號的使用者名稱破解,可以在站內論壇收集使用者資訊 檢視錯誤秘密提公升資訊,可以判斷使用者名稱或者密碼錯誤 密碼嗅探工具可以直接獲取密碼 xss cookie importer sessionid in url 使用嗅探工具.測試 ...
WEB漏洞檢測與挖掘
xss漏洞挖掘 1 url引數,可以設想該引數是以怎麼樣的形式表現在頁面,然後進行注入 如 a b b的值可以任意,在頁面中可能之間就顯示a,這時候它 的值如果有注入問題就出現了。url引數黑色可以五花八門,所以請注意了,注意好所有是字串型別的引數,這種引數往往容易存在這種url引數的注入問題。2 ...
邏輯漏洞 WEB安全攻防讀書筆記
0xx1 邏輯漏洞 介紹指攻擊者利用業務的設計缺陷,獲取敏感資訊或破壞業務的完整性,一般出現在密碼修改,越權訪問,密碼找回,交易支付金額等功能處,其中,越權訪問又有水平越權和垂直越權兩種 水平越權 相同級別 許可權 的使用者或者同一角色中不同使用者之間,可以越權訪問,修改或者刪除其他使用者的資訊的非...