財団小さな要約のウェブ浸透

その他 2019-11-08 23:01:15 訪問数: null

ウェブ浸透フレームワークの概要

主なコンポーネント:

1.ウェブ言語コード(スクリプト)

2.ウェブプログラム

3.データベースプログラム

ウェブ言語、共通のカテゴリ

1. HTML:HTML、標準言語エディタの一般的なアプリケーション

2. PHP:ハイパーテキストプリプロセッサは、汎用性の高いオープンソースのスクリプト言語です

3. ASP、ASP.NET:また、ASP +として知られているASP.NET、ASPは単純なアップグレードではなく、マイクロソフトの次世代のスクリプト言語

4. JAVE延長、JSP:Javaは広く使われているWebプログラミング言語である、彼は新しいコンセプトのコンピュータであり、

Webサーバーの拡張機能

1. apche

2.マイクロソフトIIS

3. nginxの

4. Linuxの

データベース・サーバ

1.Accessは:マイクロソフトのリレーショナルデータベース管理システムによって公開されています

2.MYSQLは:スウェーデンのMySQL ABによって開発されたリレーショナル・データベース管理システムであり、

3.MS SQLは:データベースサーバーがデータベースの確立、使用、および保守のためのデータベース管理システムの一部である端末データベースに、サーバーから完全なソリューションを提供するために、MicrosoftのSQLServerデータベースサービスプラットフォームです。

4.ORACLE:OracleのRDBMSとして知られているOracleデータベースは、Oracleのと呼ばれます。Oracleは、リレーショナルデータベース管理システムです

+共通データベースのスクリプトの組み合わせ

1. ASP +アクセス

2. PHPの+ MySQLの

3. ASPX + MSSQL

4. JSPの+オラクル、DB2

 

一般的なWeb脆弱性の原則

スクリプトの概要

スクリプトプログラムが実行され、システム・インタプリタにより実行され、道路の一つは、合わせて機械可読、プログラム順序の実行に変換されます

スクリプトの浸透

スクリプトエディタの行動の浸透は、ページの言語(ASP、PHP、JSPのaspx)攻撃を意味し、我々は、スクリプトの浸透を介して取得したい情報の一部を取得することができます。

SQLインジェクションの脆弱性

SQLインジェクションは、コードを書くことで、プログラマの一部であり、このようなアプリケーションのセキュリティリスクを判断するために、本の合法性などのないデータ。ユーザーは、コードのデータベースを照会することができ、バックプログラムに結果によると、のようないくつかのデータを知ってもらいます

ファイルアップロードの脆弱性

そのため、アップロードされたファイルタイプのフィルタリングや厳格なフィルタリングメカニズムされていない、悪意のあるユーザにつながるサイトの権限の制御の目的を達成することができますアップロードファイルで、スクリプトファイルをアップロードすることができます。

XSSのクロスサイトスクリプティング

恶意攻击者往web页面里面插入Script代码,当用户浏览该页面时,嵌入其中的代码就会被执行,从而达到恶意攻击用户的特殊目的(抓肉鸡,留后台等)

CSRF伪跨站请求

XSS利用站点内的信任用户,而CSRF则是伪装来自受信任用户的请求来利用受信任的网站。

找后台

弱口令与表单破解

管理员设置简单密码,使我们更轻易拿到密码

信息泄露与目录遍历

由于软件或者应用在编写,安全,配置的过程中没有充分容错或配置不当,导致服务器相关信息泄露。

框架与中间件漏洞

常见的框架:Spring,struts2 ,hibernate,thinkPHP,zend等

常见的中间件:tomcast, JBOSS,Weblogic

中间件是提供系统软件和应用软件之间连接的软件,以便于各部件之间的沟通

IIS写权限漏洞

写入权限,用户可以写入文件到网站目录,也就是我们所说的写权漏洞

暴库

暴库就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法的下载到本地

社会工程学

社会工程学陷阱就是通常以交谈、欺骗、假冒或者是口语等方式,从合法用户中套取用户信息秘密(欺骗的艺术等)

旁注

利用同一台主机上面不同的网站漏洞得到webshell,从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。

0day

在计算机领域中,0day通常是指还没有补丁的漏洞,而0day攻击则是指利用各种漏洞进行的攻击·

在线编辑器漏洞 ewebeditor FCKeditor

下载数据库


Tag标签:  数据库  脚本  漏洞  用户  语言  程序  攻击  常见  代码  文件

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪! 

本文出自:https://www.toutiao.com/a6756117338069664269/

おすすめ

転載: www.cnblogs.com/wjw-zm/p/11823675.html
おすすめ
ランキング
Python 描画 3D 動的ヒストグラム コード チュートリアル
[vue3 共通エラー 5] Uncaught (in Promise) TypeError: xxx は関数ではありません
シンプルアップロードExcelファイルやデータベースにデータを追加
springboot における import アノテーションの役割
numpy 多维矩阵的维度交换
WMS システム - ウェーブ管理
Redis(7)マスター/スレーブレプリケーション
三北斗七星星座コアグローバルシステムの導入は完了です!グローバルネットワークを推進するために、
sql server语法——排序查询
続行することはできません立ち往生
アーカイブ
もっと
2024-05-16(24)
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)

コードワールド

© 2018 codetd.com