其他分享
首页 > 其他分享> > 小迪day11-web漏洞-必懂知识点详解

小迪day11-web漏洞-必懂知识点详解

作者:互联网

小迪day11-web漏洞-必懂知识点详解

2021/12/16

WEB 漏洞-必懂知识点

前言:本章节将讲解各种 WEB 层面上的有那些漏洞类型,具体漏洞

的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也

是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发

现,如何利用将是本章节学习的重点内容!

image-20211216185817698

简要知识:

CTF,SRC,红蓝对抗,实战等

#简要说明以上漏洞危害情况

CTF、红蓝对抗、实战(发现漏洞不足以完成目标,重点学习权限获取)、SRC(强调漏洞,发现漏洞就完事)

#简要说明以上漏洞等级划分

低中危:XSS跨站、目录遍历、文件读取

中危:反序列化、逻辑安全

高危(网站数据库权限、数据):SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行

#简要说明以上漏洞重点内容

CTF:SQL注入、文件上传、反序列化、代码执行

SRC:图片漏洞都有出现,专属:逻辑安全

红蓝对抗:强调权限,高危漏洞

#简要说明以上漏洞形势问题

1.不知道怎么上手?知识点缺少,信息收集不完整、工具扫和人工相结合,漏洞理解不够

案例演示:

SQL 注入漏洞-数据库操作危害

目录遍历漏洞-源码结构泄漏危害 文件读取漏洞-源码内容获取危害

文件上传漏洞-WEB 权限丢失危害

文件下载漏洞-补充演示拓展演示

涉及资源

https://github.com/zhuifengshaonianhanlu/pikachu

标签:知识点,危害,简要,小迪,WEB,文件,漏洞,web
来源: https://www.cnblogs.com/BHANGRA/p/15700668.html