学习资料:web
安全测试专家成长系列之-初探Web安全1.mp4shell
(1)初始安全测试的各种安全问题数据库
(2)安全事件案例集跨域
(3)安全测试的将来安全
(4)总结和讨论服务器
1、什么是安全测试??cookie
就是Hack!xss
白帽子:不违反法律,利用本身的安全技术去作一些事情,合理合法,并帮助厂商去维修。学习
黑帽子:违反法律去作一些安全方面的事情。测试
灰帽子:熊猫烧香的做者
绿帽子:
咱们的目标就是:白帽子。
U推荐的书:白帽子讲Web安全
2、常见的安全问题:OWASP组织
开放式Web应用程序安全项目(OWASP)
十大高危漏洞 :
3、WEB安全问题分类:
4、部分黑客经常使用名词解释:
脱裤子:就是SQL注入
盲打:XSS跨站,用户的cookie,而后用cooike登陆
webshell:管理网站的木马
钓鱼:
肉鸡:电脑中木马后,被木马的电脑就是肉鸡
跳板:攻击某一个网站,会留下一个ip。而后先攻击一个电脑,获取IP,而后经过中间的Ip去攻击目标的另外一个电脑。这中间电脑就是跳板。
登陆劫持:
0Day:未公布出来的安全问题。
02:安全事件案例集=安全深透
(1)SQL注入:高危漏洞
改造原来的SQL语句。
危害:
(1)数据泄露
(2)权限绕过:不用帐号就能登陆
(3)网站沦陷
(4)其余
分析原理1:
分析原理2:越过登陆,直接进入管理页面,万能钥匙 。
案例1:
多玩的参数后面加单引号',同时能够得到到服务器的数据库等地址等。
案例2:
案例3:盛大webshell网站木马,获取到整个网站的信息等。
其余SQL注入案例:
(2)xss跨站:跨站脚本攻击
危害:
cookie的窃取,挂木马,病毒,暗链,钓鱼,点击劫持,登陆劫持,蠕虫攻击,后台沦陷
案例4:
(3)CSRF跨站请求伪造
(4)跨域跳转
(5)上传漏洞