精选文章 网站漏洞分析

网站漏洞分析

作者:weixin_34150224 时间: 2012-12-02 05:38:01
weixin_34150224 2012-12-02 05:38:01

一、经典漏洞
   'or' '='
    这样的漏洞解决起来也是比较容易的,过滤用户名和密码即可,不过也常常被忽视。

二、验证用户权限漏洞
   cookies保存在本地机子上记录用户的一些信息,顾在本地可以进行恶意修改
   session保存在服务器上,较占用服务器资源。
    防止此类漏洞的办法是进行双重验证。

三、垮站***漏洞
   例子:<script>alert("test only alert dialog box")</script>
     这仅仅是弹出一对话框,可想而知,挂马或者跳转其他站点便很容易实现。
     此类漏洞如被***利用,后果很严重,首先受害者是浏览网页的用户。
   解决方案:过滤 < > % ASCⅡ码等,简单的也可以通过限制表单长度解决。

四、注入***漏洞
   http://www.*****.com/edit.asp?id=8
    edit.xxx? xxx=???
     '        判定是否出错
   ' and 1=1  
     ' and 1=2   通过后俩个看其页面是否相同,如1正常,2不正常,则可断定有注入点。

   ../union select 1,2,3,4,5,6,7 form admin 直接对数据进行查询

    防止这样的漏洞是过滤 ' " 及ASCⅡ码。

五、数据库漏洞
     1、防下载没有做好
          <% %>
              对于一些.asp和.php网站来说, ../date/#difedate.asp
                可以  ../date/%23difedate.asp
         2、利用跨漏洞写shell
                如写蓝屏***

总结:所谓漏洞,就是不易被发觉的弱点,想成功***可不是件容易的事,教程之类也只是说说而已,多为理论,不可不看,也不可多看,关键还是靠自己去多钻研测试。笔记记的较粗略,不过也说明了基本问题,感兴趣的慢慢领悟吧。

转载于:https://blog.51cto.com/hanbing/1076525

勿删,copyright占位
分享文章到微博
分享文章到朋友圈

上一篇:[Linux] 搭建***服务之pptpd篇

下一篇:[Linux] 使用Public Key (OpenSSH) 不用密码登陆

您可能感兴趣

  • 2020危险化学品经营单位安全管理人员作业考试题库及危险化学品经营单位安全管理人员作业模拟考试

    题库来源:安全生产模拟考试一点通公众号小程序 2020危险化学品经营单位安全管理人员作业考试题库及危险化学品经营单位安全管理人员作业模拟考试,包含危险化学品经营单位安全管理人员作业考试题库答案解析及危险化学品经营单位安全管理人员作业模拟考试练习。由安全生产模拟考试一点通公众号结合国家危险化学品经营单位安全管理人员考试最新大纲及危险化学品经营单位安全管理人员考试真题出具,有助于危险化学品经营单...

  • 计算机必备专用英语词汇

    非常好的单词整理,转载一下当作笔记 1.单词说明:   command n. 命令,指令 [kə'mɑ:nd]   单词拼写 名词 单词含义 音标(发音)   提示:着重记忆单词对应的意思,有能力最好词性也记忆。 2.词性说明: n v vi vt conj prep pron adj adv 名词 动词 非及物动词 及物动词 连词 介词 代词 形容词 副词 3.单词列表: 1.file,n...

  • 中国耳机能否把AirPods拉下铁王座,全看一颗“芯”

    作者|茜茜 编辑|猛哥 1853年,犹太青年李维斯和当时的许多美国人一样,满怀梦想地踏上了西部淘金之旅。 很遗憾,他去晚了,到处都是人,还被抢地盘的恶棍们给揍了一顿。 李维斯很快从欺辱中恢复过来,他发现淘金人的衣服很容易磨破,而西部到处都是废弃的帐篷,如果把这些帐篷缝制成裤子,肯定抗穿耐磨。就这样,他缝制了世界上第一条牛仔裤。从此开创了他的牛仔裤王国。 世上的事情就是这么不可思议。 150年...

  • 安装SQL Server 2016

    介绍 (Introduction) Microsoft SQL Server 2016 provides faster transactions and queries, deeper insights on any device, advanced analytics, new security technology, and new hybrid cloud scenarios. Alo...

  • mysql 查询最顶级_2018顶级MySQL博客作者

    mysql 查询最顶级 We made a collection of the most popular MySQL bloggers, including a link to each individual blog. The ranking is based on Alexa global score as of April 25, 2019. 我们收集了一些最受欢迎MySQL博客,包括...

  • 复杂是技术系统根本属性:为什么代码会变得难以维护

    欢迎关注公众号【IT徐胖子】获取更多互联网和技术干货,感谢各位支持 1 遗留代码 程序员应该都有这样的经历,当接手一份遗留代码时会为此感到苦恼。不仅代码复杂和嵌套结构令人迷惑,而且没有文档和架构图更让人无从维护。当代码维护性几乎为零时,能采用的技术方案只有重构,说白了就是重写。 这种情况到底是必然发生,还是仅仅是因为代码不规范导致的?我们先不着急给出答案,这里为大家介绍一本书:《为什么需要生...

  • 新职业教育的三节课,凭什么做到今天这样

    历时7天、翻遍15个平台渠道、访谈25位参与课程的从业者、挖掘了136条推文的标题和内容,我们得到了12500字的拆解。可以点击右上角☝:收藏、分享、在看,不用担心看一半,找不到文章。 本文信息公开来源:三节课官方公众号、虎嗅网、36氪、深网、东方财富网、新榜、知乎、简书、增长黑盒、短书··· 我们认为,这可能比任何官方复盘更能诠释:「三节课」是如何在3年内,做到互联网职业教育(Almost...

  • 如何28天完成等级保护测评全流程?

    目前数字经济建设浪潮一浪高过一浪,与此同时我国的网络安全法也逐渐得到普及,支撑网络安全法的网络安全等级保护相关标准规范也不断更新和完善。 落实网络安全等级保护制度是网络运营者(指网络的所有者、管理者和网络服务提供者)的责任与义务。通常情况,无论是在建或已运行的系统,完成一次等级保护测评的全流程需要2-3个月时间,有的需要半年甚至超过1年的也不在少数。 以北京为例,等级保护备案阶段:申请与受理...

华为云40多款云服务产品0元试用活动

免费套餐,马上领取!
CSDN

CSDN

中国开发者社区CSDN (Chinese Software Developer Network) 创立于1999年,致力为中国开发者提供知识传播、在线学习、职业发展等全生命周期服务。