1.漏洞获取方法
1)扫描器扫描 2)乌云 3)线上服务漏洞
样例:
线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件
2.入侵原因
1)好玩 2)拖库,目的,获得各种账号password。相同账号在其它地方的password有可能一致。
3)删文章,挂黑链,不正当竞争攻击
3.常见漏洞
1)sql注入 2)xss
4.一些获得漏洞方法
1)扫描器扫描 2)乌云查看
3)制造页面报错,比如參数加引號,页面报错会展示一些敏感信息,逐步更改參数查看信息变化
4)支付安全,不花钱买入,1分钱买入10份等
通过改动本地页面提交的数据包參数,导致server端数据update不正确,比如扣钱为负数,
扣钱比实际值少,数量比实际值多等
相关文章
- 移动web性能优化笔记
- 笔记42 Spring Web Flow——Demo(2)
- WEB学习笔记4-前端代码基本命名规法和格式规范
- 第二天学习笔记:(MDN HTML学习、web安全策略与常见攻击、语义化)
- java并发编程笔记(四)——安全发布对象
- web安全防范之SQL注入攻击、攻击原理和防范措施
- ocp11g培训内部教材_051课堂笔记(047)_SQL
- [原创]java WEB学习笔记20:MVC案例完整实践(part 1)---MVC架构分析
- [原创]java WEB学习笔记66:Struts2 学习之路--Struts的CRUD操作( 查看 / 删除/ 添加) 使用 paramsPrepareParamsStack 重构代码 ,PrepareInterceptor拦截器,paramsPrepareParamsStack 拦截器栈
- NGINX高性能Web服务器详解(读书笔记)