【Web渗透测试】—Web漏洞
漏洞利用情景
CTF,SRC,红蓝对抗,实战等
漏洞危害情况
SQL注入:可以获取数据库权限,得到数据库中的数据
文件上传:直接获取网站权限
XSS跨站:获取网站后台权限
漏洞等级划分
高危:涉及数据的安全和权限的丢失,SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行
中危:有一部分影响,反序列化、逻辑安全
低危:小部分的信息泄露,信息不是指数据,是指网站的源码,部分的账号密码,影响不大的情况,XSS跨站、目录遍历、文件读取
漏洞重点内容
CTF:文件上传、SQL注入、反序列化、代码执行,特别是反序列化
SRC:几乎都能出现,特定目标中逻辑安全比较多
红蓝对抗:基本上是高危漏洞,文件上传、文件包含、代码执行、命令执行
漏洞形势问题
漏洞找不到,可能是信息收集不到位;工具不合适;不了解漏洞原理,导致判断时出现了遗漏 。