web安全原理

最新推荐文章于 2025-06-11 10:57:58 发布

原创

最新推荐文章于 2025-06-11 10:57:58 发布 · 1k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#渗透测试 #web安全基础

一.sql注入
二.XSS（跨站脚本攻击）
- 2.1xss基础
- 2.1xss进阶
三.CSRF漏洞（跨站请求伪造）
- - 利用方式：
四.SSRF漏洞（服务端请求伪造）
- - 利用方式：
五.文件上传
六.暴力破解
七.命令执行
八.逻辑漏洞挖掘
- - 修复建议：sessionid
九.XXE漏洞(XML外部实体注入)
- - 修复建议：1.禁用外部实体。2.过滤用户提交的XML数据。
十.WAF（web Application Firewall，web应用防火墙）

一.sql注入

1.1注入基础

1.2注入进阶

1.2.1 时间注入

1.2.2 堆叠查询

1.2.3 二次注入

1.2.4 宽字节注入

1.2.5 cookie注入

1.2.6 base64注入

1.2.7 XFF注入

1.3注入绕过

大小写，双写，编码，内联注释

修复建议：

1、过滤。
2、使用预编译语句。

二.XSS（跨站脚本攻击）

跨站脚本攻击，代码注入的一种。

2.1xss基础

三种：
1.反射性。一次性，包含XSS代码的恶意链接发给用户。
2.存储型。多见于论坛，博客。
3.DOM形特殊类型的反射性XSS。在客户端交互页面中，html标签节点。

2.1xss进阶

常用语句及编码绕过

常见的xss绕过编码有JS编码，HTML实体编码和URL编码

JS编码：三个八进制，两个十六进制，四个十六进制。如果个数不够，在前面补0.

HTML实体编码：
1.命名实体：以&开头，以分号结尾。
2 .字符编码：十进制、十六进制ASCII码或Unicode字符编码。

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_45302736

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

WEB安全原理（1）——SQL注入

yuluotianjin的博客

09-01

660

1.Union注入如果通过sql注入，页面上能获取预期信息，则可使用Union注入。（1）判断是否存在注入点（区分下是数字型注入还是字符型注入） id=1 # 正常回值 id=1' # 异常回值 id=1 and 1=1 # 正常回值 id=1 and 1=2 # 异常回值（2）判断表中的字段数 id=1 order by [1,2,3,……] 使用order by语句，后面跟随具体数字，这些数字可用于指代表中字段名，观察数字从1开始递增到哪个数字为止，界面回值均会正常，则那个终止的数字则为字段

《web安全原理分析与实践》

blalaa的博客

09-01

1068

《web安全原理分析与实践》-中间件漏洞、中间件解析漏洞思考题中间件漏洞 1.常见的中间件有哪些? IIS Nginx Tomcat JBOSS Weblogic 2.简述IIS6.0PUT上传漏洞的原理及利用方式。如果IIS开启了PUT上传方式，就可以利用此方法上传任意文件利用： –利用PUT协议上传webshell –利用MOVE方法将文件扩展名.txt改为.asp 3、短文件名的原理是什么? IIS存在短文件名枚举漏洞，该漏洞通过在GET请求中加入“ ”，可以让远程攻击者看到 diclose文

参与评论您还未登录，请先登录后发表或查看评论

常见web安全及防护原理

LuckXinXin的博客

05-31

868

1. sql注入原理就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令 2. 总的来说有以下几点永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双"-"进行转换等永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接不要把机密信息明文存放，请加密或者hash掉密码和敏感的信息 3. XSS

Web 安全基础，零基础入门到精通，看这一篇就够了！

热门推荐

空心菜的博客

04-15

1万+

一、 SQL注入(SQL Inject)[OWASP TOP1 2017]：二、 XSS(Cross-site Script)[OWASP TOP7 2017] 三、上传漏洞四、文件解析漏洞五、 CSRF（Cross-Site Request Forgery）六、 DDos攻击分布式拒绝服务(Distributed Denial of service Attack) ...

Web安全原理及实践（基础部分）

YOU

07-15

3633

Web安全原理及实践（入门）Web安全基础Web安全概述Web安全基础常见渗透测试工具NmapBurpSuiteSqlmapSublime常见的漏洞扫描工具BurpsuiteScanner模块AWVSAPPscanNessus Web安全基础 Web安全概述前提：攻击者要想先攻击服务器之前，必须保证两者之间能进行正常的通信。服务器上的各种服务都是依托于端口来实现对外提供服务，通过访问服务器对外开放的服务来攻击服务器。匿名账号登录、口令爆破、Web漏洞利用、缓冲区溢出攻击…来入侵端口搜索引擎的搜索技

Web 安全恩仇录：漏洞原理

GitChat

04-12

5232

课程介绍本课程主要内容为 Web 常见漏洞分析，同时会介绍在各个阶段需要做什么事，该课程利用的攻防平台是 Kali Linux 以及一些 Linux 和 Windows 靶机，按照主次会依次介绍 OWASP 10 的漏洞类型。通过学习本课内容，能够掌握常见的漏洞类型，比如 SQL 注入、XSS 等漏洞的原理并且能够在实际渗透测试中学会运用，具体实践案例： ASP + Access 手工 SQL...

Web安全原理剖析

李二胖的博客

04-15

422

Web安全原理剖析SQL注入基础介绍SQL注入SQL注入原理与MqSQL注入相关的知识点MySQL查询语句limit的用法 SQL注入基础介绍SQL注入 SQL注入就是值Web应用程序对用户输入数据的合法性没有判断，前端传入后端的参数是攻击者可控的，并且参数代入数据库查询，攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。 SQL注入原理 SQL注入漏洞产生条件：参数用户可控：前端传给后端的参数内容是用户可以控制的。参数带入数据库查询：传入的参数拼接到SQL语句，且带入数据库查询。与M

[理论-学习]Web安全原理剖析-01

3hex的博客

09-08

1597

声明：由于笔者能力有限，难免出现各种错误和漏洞。全文仅作为个人笔记，仅供参考。笔记内容来源于各类网课、书籍。本章节内容来源：《Web安全攻防渗透测试实战指南》 ...

Web 安全基础理论

Geek极安云科-致力于网络安全事业

05-09

1190

=POST方法的主要作用是执行操作。因为POST方法旨在执行操作，如果用户单击浏览器上的“后退”按钮，返回一个使用这种方法访问的页面，那么浏览器不会自动重新发送请求，而是就即将发生的操作向用户发出警告，如图3-1所示。该协议基本上不需要连接，虽然HTTP使用有状态的TCP协议作为它的传输机制，但每次请求与响应交换都自动完成，并且可能使用不同的TCP连接。客户端可在将来的请求中提交这个标识符，获得和If-None-Match消息头中相同的资源，通知服务器浏览器当前缓存中保存的是哪个版本的资源。

Web安全原理剖析（十三）——XSS漏洞原理

Phantom03167的博客

10-21

8660

XSS漏洞原理

[理论-学习]Web安全原理剖析-02

3hex的博客

09-11

355

声明：由于笔者能力有限，难免出现各种错误和漏洞。全文仅作为个人笔记，仅供参考。笔记内容来源于各类网课、书籍。本章节内容来源：《Web安全攻防渗透测试实战指南》三、XSS 1. XSS基础 1.1 XSS漏洞介绍跨站脚本（Cross-Site Scripting，检测为XSS或跨站脚本或跨站脚本攻击），是一种针对网页应用程序的安全漏洞攻击技术，是代码注入的一种。它允许恶意用户将脚本代码注入网页中，其他用户在浏览网页会受到影响。恶意用户利用XSS攻击成功后，可能会进行高权限的操作.

web安全原理分析与实践参考文献

06-11

以下是一些关于Web安全原理分析与实践方面的参考文献： 1. 《Web安全深度剖析》- 吕俊梅，王哲，刘峰著 2. 《Web安全攻防实战》- 吴翰清，李泽阳，王晨涛著 3. 《Web安全技术详解》- 王晓峰，张传军，王丽萍著 4...