本文深入探讨了多种常见的Web安全漏洞,包括SQL注入、文件上传、数据库、XSS跨站、CSRF、文件包含、任意文件下载、服务器及端口漏洞等。详细解释了每种漏洞的工作原理和潜在威胁。
0day
渗透
SQL注入漏洞 一般做拼接的sql会存在这样的漏洞。搜索条件 多数作为注入的入口。"select * from a where phone="+phone;phone可以为"'10001' union all
select * from b"
文件上传漏洞 所谓一句话木马,多数都是使用文件包含漏洞遍历文件,著名的工具“中国菜刀”
数据库漏洞 3306端口导出 outfile 导出文件,可以让攻击者在服务器植入木马。前提是攻击者拿到你mysql的root账号。假设你mysql账号是关联系统的root账号那么 攻击者就可以为所欲为了。
XSS跨站漏洞 也可以叫做前端注入
CSRF跨站漏洞 钓鱼网站
文件包含漏洞 遍历服务器文件系统
任意文件下载漏洞 jdbc配置被下载
网站程序漏洞 短信轰炸机 登入界面做短信发送,时间间隔只在前端做了限制,那么人家可以直接调用你接口发送短信给指定手机。当然这应该是相当低级的漏洞,正常短信轰炸机器都是采集成百上千的这种接口,循环发。防不住。
服务器漏洞 tomcat,管理员后台 ,拿到你的账号密码就可以传个文件管理系统上来,拿到你服务器的文件。并且可以执行shell 进一步就可以干很多事情了。
端口口扫描器 s.exe 速度超级快 duburt 3389端口扫描工具
ddos loic单机工具 PyLoris(需要pyth环境好像是2.7版本的) ddos集群工具
总的来说就是非法占用你的资源,导致正常访问无法进行,带宽占用,主机资源占用。
SYN 攻击,半连接攻击 占用资源,停止攻击后很快恢复
UDP Flood攻击 大流量
cc攻击 飚cpu CC主要是用来攻击页面的,查询数据库大量消耗你的cpu 攻击你的大页面
病毒
扫一扫
4220
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
