基本漏洞类型的基本定义
文章目录
XSS
- XSS
- CSRF
- 点击劫持
- webshell
- URL跳转漏洞
- SQL注入
- 命令注入
- 越权漏洞
- 敏感信息泄露
- URL重定向
- 反射性xss:反射性xss通过改变URL地址进行攻击
- DOMxss:通过改变URL地址来进行攻击
- 反射性与DOM性区别:反射性是浏览器在web应用文档里,到服务器,是后端,DOM是js代码执行,是前端
- 储存性xss:通过向数据库或者服务器里注入恶意代码,进行攻击。
- 过滤的方法:通过改变大小写;两个script代码拆分再合在一起,也可以通过多种HTML属性来进行绕过
原理:就是用户带着A网页的cookie去访问有恶意脚本的B网页,黑客就知道cookie,就完成了打开A网页。
点击劫持- 原理:利用iframe标签,将一个网页跟其他图片或者网页重合在一起,本身的网页利用css透明度降低,只看得到其他网页,通过点击某个东西,到达本身的网页的内容,来欺骗人们。
- 主要是通过html和css的内容来设置。
- 原理:webshell是服务器脚本,可以获取服务器权限。本来是管理网站人员利用这去管理网站,黑客可以利用自己写的webshell拿到服务器权限,对其数据库,文件进行操作。
- 根据脚本,又可以分为大马和小马。
- 定义:当访问某一个链接,URL转移到另一个网站。
- HTTP协议重定向,就是URL中给网址
- 使用HTML标签来重定向:,0代表经过0秒,转移网址
- 利用js来重定向:window.location = “http://www.example.com/”;
- 原理:利用特殊的sql语句,对数据库进行查询,获取数据库信息。
- 万能密码:不需要密码,只要账号,admin’ –
- 本质就是数据和代码未分离
原理:利用PHP代码连接doc命令,再利用一些符号实现url的变化,使页面出现doc命令的东西。 #目录遍历漏洞 使用…/,对所在文件的上一层进行查看文件目录
越权漏洞- 水平越权:同一级别的A,B,A只能访问自己的信息,但是访问到了B的信息,就是水平越权。改URL参数就可以达到水平越权
- 垂直越权:下一等级的A访问到了上一等级的B,就是垂直越权。利用cookie值,在管理员改用户数据时,抓包,改变管理员的cookie。
- 定义:由于开发人员的错误,使可以直接通过前端URL访问到后端的一些代码,文件
- 一般用来进行信息搜集
