Web渗透框架概述

主要组成:

1. web语言代码(脚本)

2. web程序

3. 数据库程序

Web语言常见几大类

1. HTML:超文本标记语言,标准通用编辑语言下的一个应用

2. PHP:超文本预处理器,是一种通用开源脚本语言

3. ASP,ASP.NET : ASP.NET又称ASP+,不仅仅是ASP的简单升级,而是微软推出的新一代脚本语言

4. JAVE扩展名,JSP : Java是一个广泛使用的网络编程语言,他是一种新的计算机概念

Web服务器扩展

1. apche

2. Microsoft IIS

3. Nginx

4. Linux

等等

数据库服务程序

1.Access : 是由微软发布的关系数据库管理系统

2.MYSQL: 是一个关系型数据库管理系统,由瑞典Mysql AB开发

3.MS SQL: 是微软的SQLServer数据库服务平台,提供数据库的从服务器到终端的完整的解决方案,其中数据库服务器部分是一个数据库管理系统,用于建立、使用、和维护数据库。

4.ORACLE: oracle database,又称oracle RDBMS,简称Oracle。是甲骨文公司的一款关系数据库管理系统

等等

常见的数据库+脚本组合

1. ASP+ACCESS

2. Php+mysql

3. ASPX+MSSQL

4. Jsp+Oracle、DB2

 

常见的web漏洞原理

脚本概述

脚本程序在执行时,是由系统·的一个解释器,将其一条条的翻译成机器可识别的指令,并按程序顺序执行

脚本渗透

脚本渗透是指网页编辑语言(asp php aspx jsp)进行攻击的行为,我们可以通过脚本渗透来得到我们想要得到的一些信息。

SQL注入漏洞

SQL注入就是一部分程序员在编写代码的时候,没有对用户书如数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序的放回结果,获取某些想得知的数据

文件上传漏洞

由于对上传文件类型未过滤或过滤机制不严,导致恶意用户可以上传脚本文件,通过上传文件可达到控制网站权限的目的。

XSS跨站脚本攻击

恶意攻击者往web页面里面插入Script代码,当用户浏览该页面时,嵌入其中的代码就会被执行,从而达到恶意攻击用户的特殊目的(抓肉鸡,留后台等)

CSRF伪跨站请求

XSS利用站点内的信任用户,而CSRF则是伪装来自受信任用户的请求来利用受信任的网站。

找后台

弱口令与表单破解

管理员设置简单密码,使我们更轻易拿到密码

信息泄露与目录遍历

由于软件或者应用在编写,安全,配置的过程中没有充分容错或配置不当,导致服务器相关信息泄露。

框架与中间件漏洞

常见的框架:Spring,struts2 ,hibernate,thinkPHP,zend等

常见的中间件:tomcast, JBOSS,Weblogic

中间件是提供系统软件和应用软件之间连接的软件,以便于各部件之间的沟通

IIS写权限漏洞

写入权限,用户可以写入文件到网站目录,也就是我们所说的写权漏洞

暴库

暴库就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法的下载到本地

社会工程学

社会工程学陷阱就是通常以交谈、欺骗、假冒或者是口语等方式,从合法用户中套取用户信息秘密(欺骗的艺术等)

旁注

利用同一台主机上面不同的网站漏洞得到webshell,从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。

0day

在计算机领域中,0day通常是指还没有补丁的漏洞,而0day攻击则是指利用各种漏洞进行的攻击·

在线编辑器漏洞 ewebeditor FCKeditor

下载数据库

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6756117338069664269/

Web渗透基础小总结的更多相关文章

  1. 零基础到精通Web渗透测试的学习路线

    小编相信很多新手都会遇到以下几个问题 1.零基础想学渗透怎么入手? 2.学习web渗透需要从哪里开始? 这让很多同学都处于迷茫状态而迟迟不下手,小编就在此贴给大家说一下web渗透的学习路线,希望对大家 ...

  2. KALI LINUX WEB 渗透测试视频教程—第十九课-METASPLOIT基础

    原文链接:Kali Linux Web渗透测试视频教程—第十九课-metasploit基础 文/玄魂 目录 Kali Linux Web 渗透测试视频教程—第十九课-metasploit基础..... ...

  3. 20145319 《网络渗透》web安全基础实践

    20145319 <网络渗透>web安全基础实践 问题回答 Sql注入攻击原理,如何防御 攻击原理:由于对于用户输入并没做出相应限制,因此可以通过构造特定的sql语句,达到自身的一些非法目 ...

  4. 【渗透课程】第一篇-Web渗透需要接触的语言

    ---恢复内容开始--- 上一篇我们讲过了,Web渗透的基本原理,在原理中我们也提到了Web应用程序(脚本语言),本章就谈到了Web渗透要涉及的语言. 涉及语言: 1.html:是前段语言的其中一个, ...

  5. 2017-2018-2 20155303『网络对抗技术』Final:Web渗透获取WebShell权限

    2017-2018-2 『网络对抗技术』Final:Web渗透获取WebShell权限 --------CONTENTS-------- 一.Webshell原理 1.什么是WebShell 2.We ...

  6. 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗

    1 基础知识1.1 网络熟悉常见网络协议:https://www.ietf.org/standards/rfcs/1.2 操作系统1.3 编程2 恶意软件分析2.1 分类2.1.1 木马2.1.2 B ...

  7. web渗透学习目录

    一,基础学习 01.基础学习 [[编码总结]] [[JSON三种数据解析方法]] [[js加密,解密]] [[Internet保留地址和非保留地址.内网和公网.VNC和UltraVN]] 代理 [[S ...

  8. Web编程基础--HTML、CSS、JavaScript 学习之课程作业“仿360极速浏览器新标签页”

    Web编程基础--HTML.CSS.JavaScript 学习之课程作业"仿360极速浏览器新标签页" 背景: 作为一个中专网站建设出身,之前总是做静态的HTML+CSS+DIV没 ...

  9. Kali Linux渗透基础知识整理(四):维持访问

    Kali Linux渗透基础知识整理系列文章回顾 维持访问 在获得了目标系统的访问权之后,攻击者需要进一步维持这一访问权限.使用木马程序.后门程序和rootkit来达到这一目的.维持访问是一种艺术形式 ...

随机推荐

  1. 1年6亿美元!Uber小费功能或引行业变革

    当一个行业由稚嫩走向成熟,必然要在大方向上面对两个选择--一是继续在行业内深挖,二是不断向外围扩张.就像电商行业原本只是纯粹的交易中介形态,现在既不断深挖垂直电商新模式,又继续拓展新业务试图玩转跨界. ...

  2. 图像的手绘效果(Python)

    PIL库,Python Image Library PIL库是一个具有强大图像处理能力的第三方库 在命令行下的安装方法:pip install pillow from PIL import Image ...

  3. 编译原理_P1001

    1 绝大部分软件使用高级程序设计语言来编写.用这些语言编写的软件必须经过编译器的编译,才能转换为可以在计算机上运行的机器代码.编译器所生成代码的正确性和质量会直接影响成千上万的软件.虽然大部分人不会参 ...

  4. Vscode 下 PlantUML 插件的安装(windows and ubuntu)

    目录 Windows 下安装 JAVA 安装环境配置: 测试 Ubuntu 16.04 下安装 Windows 下安装 Vscode graphviz PlantUML JAVA(推荐长期稳定版本,官 ...

  5. Python实现求1-1000以内的素数

    def func(): for i in range(2,1000): # count表示被整除的次数 count = 0 for j in range(1,i+1): if i%j==0: coun ...

  6. Angular开发者指南(二)概念概述

    template(模板):带有附加标记的模板HTML directives(指令):使用自定义属性和元素扩展HTML model(模型):用户在视图中显示的数据,并与用户进行交互 scope(作用域) ...

  7. 浏览器加载、渲染html的顺序和页面优化

    浏览器加载和渲染html的顺序 1. IE下载的顺序是从上到下,渲染(就是把请求的内容显示到浏览器屏幕上)的顺序也是从上到下,下载和渲染是同时进行的. 2. 在渲染到页面的某一部分时,其上面的所有部分 ...

  8. 如何处理xml文件!看看这里

    XML处理是开发过程中经常遇到的,PHP对其也有很丰富的支持,本文只是对其中某几种解析技术做简要说明,包括:Xml parser, SimpleXML, XMLReader, DOMDocument. ...

  9. 4)date中的Ymd格式问题

    以下是详细的参数: format 字符 说明 返回值例子日 --- ---d 月份中的第几天,有前导零的 2 位数字 01 到 31D 星期中的第几天,文本表示,3 个字母 Mon 到 Sunj 月份 ...

  10. ValidationUtil

    package me.zhengjie.common.utils; import me.zhengjie.common.exception.BadRequestException; import ja ...