网站常规漏洞

最新推荐文章于 2025-06-17 16:03:24 发布

智妍饭

最新推荐文章于 2025-06-17 16:03:24 发布

阅读量1.2k

点赞数

分类专栏： php

php 专栏收录该内容

3 篇文章

订阅专栏

网站常规漏洞

一、SQL注入
- 注入方式
二、XSS跨站（又叫跨站脚本攻击）
- 漏洞类型
- 防范方法
三、代码注入
- 漏洞类型
四、CSRF跨站请求伪造
五、文件包含
六、文件上传

一、SQL注入

示例：

	select * from user where id='1' or 1='1'

注入方式

1、常规注入

		   在接收用户输入是未过滤

2、宽字节注入

			数据库为gbk编码时，通过addslashes()函数 转义后会转为中文，之后便可注入 如：%df%5c%27 转以后 为  運'

3、二次编码注入

			urldecode 注入，%27 转码后为 ‘

4、base64编码注入

		  base64_decode 转换后未进行过滤

5、注入工具

				SQLMap工具

6、如何防范

			   addslashes()函数  过滤单引号
			   数据库为utf-8编码
			   验证传入类型

二、XSS跨站（又叫跨站脚本攻击）

如：http://www.youkuaiyun.com/postlist?key=test</div><script>alert('123')</script>
指攻击者往web页面插入恶意html代码，当用户浏览网页时，嵌入web页面的html代码会被执行，从而盗取用户cookie信息

漏洞类型

反射型
存储型
DOM型

防范方法

1，过滤html标识符中的（<,>,;,'） 
2, 返回html数据时用 htmlspecialchars() 过滤下

三、代码注入

当攻击者提交的参数被当作代码执行的时候，我们称之为代码注入漏洞

漏洞类型

1.常规eval注入
2.eval单引号包裹
3.preg_replace /e 注入
4.动态调用函数

四、CSRF跨站请求伪造

五、文件包含

六、文件上传

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

智妍饭

关注关注

0
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]

qwsn

01-25

5798

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！文章目录一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理：`盗取COOKIE` 5、xss漏洞利用示例：`盗取COOKIE` 6、xss漏洞利用原理：`基础认证钓鱼` 7、xss漏洞利用示例：`基础认证钓鱼` 8、xss漏洞利用原理：`键盘记录器` 9、xss漏洞利用示例：`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考

网站漏洞挖掘思路

bluemoon_0的博客

03-13

655

网站漏洞挖掘思路

参与评论您还未登录，请先登录后发表或查看评论

网站漏洞网站漏洞网站漏洞网站漏洞

10-21

网站漏洞网站漏洞网站漏洞网站漏洞网站漏洞网站漏洞

常规的安全漏洞

weixin_39267265的博客

09-19

179

1.命令注入执行针对需要执行命令的接口，如果要执行cat /etc/passwd 不会返回 2.代码注入执行用户输入代码被服务区执行 3.服务端请求伪造用户通过伪造服务端的请求，然后获取到response 4.XML实体注入服务区入侵，内网嗅探 5.反序列化漏洞用户通过可控的位置（cookie，参数）来读取序列化的数据，在服务端进行反序列化操作，因为反序列化可以任意修改代码，导致代码注入...

十大常见web漏洞（非常详细）零基础入门到精通，收藏这一篇就够了

最新发布

Javachichi的博客

06-17

1184

Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用，Web应用已经融入到日常生活中的各个方面：网上购物、网络银行应用、证券股票交易、政府行政审批等等。在这些Web访问中，大多数应用不是静态的网页浏览，而是涉及到服务器侧的动态处理。此时，如果Java、PHP、ASP等程序语言的编程人员的安全意识不足，对程序参数输入等检查不严格等，会导致Web应用安全问题层出不穷。

常见的web漏洞及其防范

Mini_小仙女的博客

09-11

1257

十大常见web漏洞一、SQL注入漏洞 SQL注入攻击（SQL Injection），简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为是正常的SQL指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。通常情况下，SQL注入的位置包括：（1）表单提交，主要是POST请求，也包括GET请求；（2）URL参数提交，主要

常见安全漏洞

netuser1937的博客

12-19

3781

常见安全漏洞

网站安全漏洞--大全

IT利刃出鞘的博客

05-23

9680

本文介绍网站常见的一些安全漏洞。

常见网络安全漏洞常规漏洞.pdf

05-24

CSRF攻击是指攻击者诱导受害者进入第三方网站，在此网站中执行事先设定好的操作。这种操作可以是修改数据、发送信息等。由于请求是由用户发起的，因此服务器会认为是合法请求，从而遭受攻击。 4. 文件包含漏洞...

asp网站漏洞扫描器冰舞ASP网站漏洞检测工具

01-07

这种混合方法有助于识别那些常规扫描可能遗漏的深层次漏洞。 3. **自动化测试**：冰舞能够自动化执行多种安全测试，减轻了管理员手动测试的工作负担，提高了效率。用户只需提供目标网站的URL，工具就能自动进行一...

1.服务器中的漏洞可能是常规漏洞也可能是系统漏洞;\n2.靶机服务器上的网站可

09-17

以搭建网络安全测试环境为例，用300字中文回答： ...通过以上两点可以看出，服务器中的漏洞既有常规漏洞也有系统漏洞，而靶机服务器上的网站则是为了测试网络安全的弱点和提高网络安全水平的一个重要手段。

网站漏洞扫描

06-23

当前web已经在企业内网，电子商务，综合信息化中得到广泛应用，越来越多的企业都将应用架设在web平台上，这也引发了严重的安全问题。事实上，根据调查，信息安全攻击有75%发生在web应用层而非网络层面上，60%的web站点都相当脆弱，易受攻击。

常规漏洞利用-sql注入实验指导书.pdf

08-03

常规漏洞利用-sql注入实验指导书#资源分享达人#

一般网站有哪些常见漏洞？

weixin_33912453的博客

09-26

7793

目前常见的web网络安全漏洞

tianruine的博客

05-02

4004

XSS（Cross Site Scripting）跨站脚本攻击。 1.存储型XSS 黑客主要通过在站点的文本输入区域嵌入脚本标签包裹的恶意代码，然后提交到服务器端，服务器将提交的信息保存后，只要其他人浏览了包含黑客恶意代码的页面后，恶意代码就会执行，可能侵害其他用户的信息。 2.反射型XSS 黑客将一段含有恶意代码的请求包装到某个链接上，然后诱导用户去点击。用户点击后含有恶意代码的请求提交给服务器端，服务器又将该含有恶意代码的请求返回给用户，恶意代码就在客户端执行。 3.DOM型XSS 黑客直接..

网站安全漏洞大全

qq_63431773的博客

11-22

1052

常见的漏洞有：SQL 注入、越权操作、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、DDoS 攻击、JSON 劫持、暴力破解、HTTP 报头追踪漏洞、信息泄露、文件上传格式校验。

网站漏洞查找研究

k0sec的安全路

03-23

974

web层面已知CMS 直接搜索该程序漏洞，如果没有相关漏洞，这个时候可以采用代码审计去挖掘未知CMS 直接利用相关漏洞扫描工具进行漏洞扫描（awvs,appscan）,也可以采用人工的探针服务层面已知软件或服务前期可以采用namp 或其他端口扫描工具进行端口服务的探针，利用获取到的服务或软件名版本信息进行漏洞查找（搜索）系统层面系统层面漏洞前期可以采用namp或系统扫描工具获取服务...

你的网站有漏洞，你竟然不知道！（网站常见漏洞）

小助手爱编程

04-25

627

网站常见八大漏洞