Web滲透基礎小總結

Web滲透框架概述 主要組成： 1. web語言代碼（腳本） 2. web程序 3. 數據庫程序 Web語言常見幾大類 1. HTML：超文本標記語言，標準通用編輯語言下的一個應用 2. PHP：超文本預處理器，是一種通用開源腳本語言 3. ASP,ASP.NET : ASP.NET又稱ASP+，不單單是ASP的簡單升級，而是微軟推出的新一代腳本語言 4. JAVE擴展名,JSP : Java是一個普遍使用的網絡編程語言，他是一種新的計算機概念 Web服務器擴展 1. apche 2. Microsoft IIS 3. Nginx 4. Linux 等等 數據庫服務程序 1.Access : 是由微軟發佈的關係數據庫管理系統 2.MYSQL: 是一個關係型數據庫管理系統，由瑞典Mysql AB開發 3.MS SQL: 是微軟的SQLServer數據庫服務平臺，提供數據庫的從服務器到終端的完整的解決方案，其中數據庫服務器部分是一個數據庫管理系統，用於創建、使用、和維護數據庫。 4.ORACLE: oracle database,又稱oracle RDBMS,簡稱Oracle。是甲骨文公司的一款關係數據庫管理系統 等等 常見的數據庫+腳本組合 1. ASP+ACCESS 2. Php+mysql 3. ASPX+MSSQL 4. Jsp+Oracle、DB2   常見的web漏洞原理 腳本概述 腳本程序在執行時，是由系統·的一個解釋器，將其一條條的翻譯成機器可識別的指令，並按程序順序執行 腳本滲透 腳本滲透是指網頁編輯語言（asp php aspx jsp）進行攻擊的行爲，咱們能夠經過腳本滲透來獲得咱們想要獲得的一些信息。 SQL注入漏洞 SQL注入就是一部分程序員在編寫代碼的時候，沒有對用戶書如數據的合法性進行判斷，使應用程序存在安全隱患。用戶能夠提交一段數據庫查詢代碼，根據程序的放回結果，獲取某些想得知的數據 文件上傳漏洞 因爲對上傳文件類型未過濾或過濾機制不嚴，致使惡意用戶能夠上傳腳本文件，經過上傳文件可達到控制網站權限的目的。 XSS跨站腳本攻擊 惡意攻擊者往web頁面裏面插入Script代碼，當用戶瀏覽該頁面時，嵌入其中的代碼就會被執行，從而達到惡意攻擊用戶的特殊目的（抓肉雞，留後臺等） CSRF僞跨站請求 XSS利用站點內的信任用戶，而CSRF則是假裝來自受信任用戶的請求來利用受信任的網站。 找後臺 弱口令與表單破解 管理員設置簡單密碼，使咱們更輕易拿到密碼 信息泄露與目錄遍歷 因爲軟件或者應用在編寫，安全，配置的過程當中沒有充分容錯或配置不當，致使服務器相關信息泄露。 框架與中間件漏洞 常見的框架：Spring,struts2 ,hibernate,thinkPHP,zend等 常見的中間件：tomcast, JBOSS,Weblogic 中間件是提供系統軟件和應用軟件之間鏈接的軟件，以便於各部件之間的溝通 IIS寫權限漏洞 寫入權限，用戶能夠寫入文件到網站目錄，也就是咱們所說的寫權漏洞 暴庫 暴庫就是經過一些技術手段或者程序漏洞獲得數據庫的地址，並將數據非法的下載到本地 社會工程學 社會工程學陷阱就是一般以交談、欺騙、假冒或者是口語等方式，從合法用戶中套取用戶信息祕密(欺騙的藝術等) 旁註 利用同一臺主機上面不一樣的網站漏洞獲得webshell，從而利用主機上的程序或者是服務所暴露的用戶所在的物理路徑進行入侵。 0day 在計算機領域中，0day一般是指尚未補丁的漏洞，而0day攻擊則是指利用各類漏洞進行的攻擊· 在線編輯器漏洞 ewebeditor FCKeditor 下載數據庫 Tag標籤:  數據庫  腳本  漏洞  用戶  語言  程序  攻擊  常見  代碼  文件

小編推薦：欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術，請 點擊這裏 註冊帳號，公開課頻道價值萬元IT培訓教程免費學，讓您少走彎路、事半功倍，好工做升職加薪！  本文出自：https://www.toutiao.com/a6756117338069664269/