web安全基础
关注
分享
扫一扫
记录web安全学习中的基础知识。
Seizerz
这个作者很懒,什么都没留下…
展开
-
SQL注入
一、基本知识1、什么是SQL注入SQL注入就是指web应用程序对用户输入数据没有做合法性判断,导致前端传入的参数可控,从而被攻击者通过构造参数进行对数据库执行任意操作。2、SQL注入的原理前提条件:* 参数用户可控:前端传给后端的参数内容是用户可以控制的。* 参数带入数据库查询:传入的参数拼接到SQL语句,并带入数据库进行查询。3、与mysql注入相关的知识点MySQL 5.0版本...原创 2019-09-02 18:00:32 · 193 阅读 · 0 评论 -
SQL注入学习自测
以下是我在学习整理面试题时所遇到的问题,方便自己巩固sql注入的学习。1、sql注入的原理 sql注入就是指web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过构造不同的sql语句来实现对数据库的任意操作。2、sql注入的判断方式会几种(如何判断有sql注入)单引号法如果页面返回错误,则存在sql注入,因为无论是...原创 2019-09-03 00:02:17 · 951 阅读 · 0 评论 -
sql注入测试的思路
在找好需要测试的功能点之后,针对每种功能点(参数),sql注入测试一般遵循下面步骤:1.测试注入类型,数字型or字符型如果参数中直接包含字母,那么直接可以判断是字符型参数,如id=4a。若参数是数字通常可以考虑输入表达式来判断,如id=6,可尝试输入id=7-1或id=3*2如果返回结果和id=6相同,可以确认为数字,进行2. 逻辑判断若返回空,可进一步测试是否为字符型或是否有过滤。在参...转载 2019-09-03 10:50:50 · 478 阅读 · 0 评论 -
XSS
一、什么是 XSSCross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。所以,网页上哪些部分会引起XSS攻击?简单来说,任何可以输入的地方都有可能引起,包括URL!二、XSS 常见的注入...原创 2019-09-03 15:03:24 · 1008 阅读 · 0 评论 -
文件上传
文件上传校验姿势客户端javascript校验(一般只校验后缀名)服务端校验文件头content-type字段校验(image/gif)文件内容头校验(GIF89a)后缀名黑名单校验后缀名白名单校验自定义正则校验WAF设备校验(根据不同的WAF产品而定)1.客户端校验 一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑...转载 2019-09-05 00:51:47 · 282 阅读 · 0 评论