中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何進行Web滲透技巧分析

發布時間:2022-01-17 19:07:15 來源:億速云 閱讀:115 作者:柒染 欄目:安全技術

今天就跟大家聊聊有關如何進行Web滲透技巧分析,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結了以下內容,希望大家根據這篇文章可以有所收獲。

當前,隨著信息網絡的不斷發展,人們的信息安全意識日益提升,信息系統的安全防護措施也逐漸提高,通常都會在服務器的互聯網邊界處部署防火墻來隔離內外網絡,僅僅將外部需要的服務器端口暴露出來。采用這種措施可以大大的提高信息系統安全等級,對于外部攻擊者來說,就像關閉了所有無關的通路,僅僅留下一個必要入口。

但在這種狀態下,仍然有一類安全問題無法避免,那就是web漏洞。其形成原因是程序編寫時沒有對用戶的輸入字符進行嚴格的過濾,造成黑客可以精心構造一個惡意字符串達到自己的目的。

那么,怎么才能發現有沒有此類安全問題呢?下面我們就來列舉幾個比較簡單的滲透技巧。

XSS漏洞

盡可能找到一切用戶可控并且能夠輸出在頁面代碼中的地方,比如下面這些:URL的每一個參數、URL本身、表單、搜索框常見的場景(包括有評論區、留言區、個人信息、訂單信息、搜索框、當前目錄、圖片屬性等等),然后輸入代碼<script>alert(hello)</script>。如果如下圖所示,那么請注意了,你的系統很可能中了跨站腳本攻擊。

如何進行Web滲透技巧分析

跨站腳本攻擊XSS惡意攻擊者會往Web頁面里插入惡意Script代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的Script代碼就會被執行,從而達到惡意攻擊用戶的目的。

XSS攻擊針對的是用戶層面的攻擊!存儲型XSS,持久化,代碼是存儲在服務器中的,例如在個人信息或發表文章等地方插入代碼,如果沒有過濾或過濾不嚴,那么這些代碼將儲存到服務器中,用戶訪問該頁面的時候觸發代碼執行。這種XSS會比較危險,容易造成蠕蟲,盜竊cookie等等。

SQL注入

【針對的SQL語句:$sql="select*from admin where id=".$id;】

正常訪問:www.linuxtest.com/test2.php?id=1

查找注入點:

1、非正常訪問www.linuxtest/test2.php?id=1',結果返回非正常頁面,說明可能有注入節點存在,繼續下面的驗證。

2、繼續非正常訪問www.linuxtest/test2.php?id=1 and 1=1,結果返回正常頁面。

3、繼續非正常訪問www.linuxtest/test2.php?id=1 and 1=2,結果返回非正常頁面,有注入節點,可以直接在id=1后面增加攻擊SQL語句。

【其他SQL1語句:$sql="select*from admin where id=$id";】

與上面相同

【其他SQL2語句:$sql="select*from admin where id=‘{$id}’";】

此時存在注入點,但是我們必須消除單引號才能進行相應的攻擊SQL的插入,方法有:

增加(and ‘=)進行消除;例如:test2.php?id=1' union select 1,2,3 and '=;結果SQL為:select*from admin where id='1' union select 1,2,3 and '='

增加(and “=’)、(union select 1,2,'3)等等。

由于系統環境不同,攻擊者可能造成的損害也不同,這主要由應用訪問數據庫的安全權限決定。如果用戶的帳戶具有管理員或其他比較高級的權限,攻擊者就可能對數據庫的表執行各種他想要做的操作,包括添加、刪除或更新數據,甚至可能直接刪除表。

上面是直接手動操作,下面帶領大家見證burp_suite工具滲透。

當你需要發起某個請求時候,將攔截系統處于啟動狀態如下圖所示(以某網站示例):

如何進行Web滲透技巧分析

如何進行Web滲透技巧分析

當你進入到想修改的頁面,篡改參數后點擊關閉,如果成功,頁面會返回你修改的參數,這就是攔截篡改漏洞。

如何進行Web滲透技巧分析

如何進行Web滲透技巧分析

結果:

如何進行Web滲透技巧分析

大部分情況下,burpsuite都是通過篡改參數來完成漏洞攻擊的,可以看到網頁直接被篡改掉,這種情況不僅客戶體驗降低,同時會面臨運營風險,甚至法律風險,產生公關危機等一系列風險。

看完上述內容,你們對如何進行Web滲透技巧分析有進一步的了解嗎?如果還想了解更多知識或者相關內容,請關注億速云行業資訊頻道,感謝大家的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

web
AI

五原县| 彩票| 无极县| 康保县| 河西区| 南充市| 三明市| 榆树市| 美姑县| 定陶县| 巍山| 禹州市| 和静县| 云梦县| 曲麻莱县| 治县。| 乐都县| 兴城市| 崇仁县| 祥云县| 华池县| 石家庄市| 肇源县| 崇义县| 北宁市| 大同市| 丹凤县| 合山市| 永州市| 响水县| 泊头市| 理塘县| 内乡县| 涿鹿县| 商城县| 沂源县| 新河县| 涟源市| 大同市| 筠连县| 肃南|