小迪day11-web漏洞-必懂知识点详解
作者:互联网
小迪day11-web漏洞-必懂知识点详解
2021/12/16
WEB 漏洞-必懂知识点
前言:本章节将讲解各种 WEB 层面上的有那些漏洞类型,具体漏洞
的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也
是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发
现,如何利用将是本章节学习的重点内容!
简要知识:
CTF,SRC,红蓝对抗,实战等
#简要说明以上漏洞危害情况
CTF、红蓝对抗、实战(发现漏洞不足以完成目标,重点学习权限获取)、SRC(强调漏洞,发现漏洞就完事)
#简要说明以上漏洞等级划分
低中危:XSS跨站、目录遍历、文件读取
中危:反序列化、逻辑安全
高危(网站数据库权限、数据):SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行
#简要说明以上漏洞重点内容
CTF:SQL注入、文件上传、反序列化、代码执行
SRC:图片漏洞都有出现,专属:逻辑安全
红蓝对抗:强调权限,高危漏洞
#简要说明以上漏洞形势问题
1.不知道怎么上手?知识点缺少,信息收集不完整、工具扫和人工相结合,漏洞理解不够
案例演示:
SQL 注入漏洞-数据库操作危害
目录遍历漏洞-源码结构泄漏危害 文件读取漏洞-源码内容获取危害
文件上传漏洞-WEB 权限丢失危害
文件下载漏洞-补充演示拓展演示
涉及资源
https://github.com/zhuifengshaonianhanlu/pikachu
标签:知识点,危害,简要,小迪,WEB,文件,漏洞,web 来源: https://www.cnblogs.com/BHANGRA/p/15700668.html