程序员经验分享-hwhale

Web渗透测试---Web TOP 10 漏洞

2023-11-06

前言

常见的漏洞有注入漏洞,文件上传漏洞,文件包含漏洞,命令执行漏洞,代码执行漏洞,跨站脚本(XSS)漏洞,SSRF漏洞,XML外部实体注入漏洞(XXE),反序列化漏洞,解析漏洞等,因为这些安全漏洞的存在,可能会被黑客利用从而影响业务,黑客通过一系列的攻击手段可以发现目标的安全弱点,若是安全弱点被成功利用将导致目标被黑客控制,从而威胁到目标资产或正常功能的使用,最终导致业务受到影响

一、注入漏洞

注入漏洞由于其严重性和危害性一直位居Web TOP 10 漏洞的第一,常见的注入有: SQL、LDAP、OS命令,ORM和OGNL。用户可以通过任何可输入的点输入构造的恶意代码,若应用程序对用户的输入过滤不严,一旦将输入的恶意代码作为命令或查询的一部分发送到解析器,则可能会导致注入漏洞的产生
如SQL注入,攻击者通过浏览器或者其他客户端,将恶意SQL语句注入到参数中,而网站应用程序对参数的值没有进行合法性校验和过滤,直接将恶意SQL语句带入数据库并进行执行,最后导致数据库中的数据被破坏和泄露

二、跨站脚本(xss)漏洞

XSS漏洞全称是跨站脚本漏洞,为了不和前端中的层叠样式表CSS重名,将跨站脚本攻击漏洞缩写改为XSS,XSS漏洞允许用户将恶意代码植入到Web页面中,当其他用户访问此页面的时候,植入的恶意代码会被执行,通过XSS漏洞可以获取用户的信息,如用户登录常用的Cookie信息,可以通过过XSS蠕虫进行信息传播,可以在客户端中植入木马,可以结合其他漏洞攻击服务器,在服务器中植入木马

三、文件上传漏洞

文件上传漏洞一般发生在具有上传功能的应用中,如果应用程序对用户的上传文件没有控制或者存在缺陷,攻击者可以利用应用上传功能,上传木马和病毒文件到服务器中,对服务器进行控制
产生的原因:应用中存在上传功能,但是上传的文件没有经过严格的合法性校验,或者校验函数存在缺陷,如PHP中的preg_relpace()等函数,导致可以上传木马文件到服务器
直接上传恶意代码到服务器上,可能会造成服务器的网页篡改,网站挂马,服务器被远程控制和被安装后门等严重的后果
文件上传落地主要是通过前端JS绕过、文件名绕过和Content-Type绕过等几种方式进行恶意代码上传

四、文件包含漏洞

文件包含函数包含的文件参数没有经过过滤或者严格的定义,并且参数可以被用户控制,就可能包含非预期的文件,如果文件中存在恶意代码,无论文件时什么样的后缀类型,文件内的恶意代码都会被解析执行,就导致了文件包含漏洞的产生。
文件包含漏洞可能会造成服务器的网页篡改、网站挂马、远程控制服务器、安装后门等危害。

五、命令执行漏洞

应用程序的某些功能需要调用可以执行系统命令的函数,如果这些函数或者函数的参数可以被用户控制,就可能通过命令连接符将恶意命令拼接到正常的函数中,从而随意执行系统命令

六、代码执行漏洞

应用程序中提供了一些可以将字符串作为代码执行的函数,比如PHP的eval函数,可以将函数中的参数当作PHP代码来执行,如果这些函数的参数控制不严格,可能会被利用,造成任意代码执行

七、XML外部实体(XXE)漏洞

XML外部实体(XML External Entity XXE)产生的原因时应用程序解析XML时,没有过滤外部实体的加载,导致了恶意的外部文件加载,造成命令执行、文件读取、内网扫描、内网应用攻击等危害

八、反序列化漏洞

不同语言,一般常见在前端和后端进行数据传输,为了保证数据有效的存储和传递,同时不丢失数据的类型和结构,经常要序列化和反序列化的函数对数据进行处理
序列化:返回字符串,此字符串包含了标识value的字节流,可以存储于任何地方
反序列化:对单一的已序列化的变量进行操作,将其转换回原来的值
这两个过程结合,可以轻松的存储和传输数据,使程序更具有维护性,但是不全的反序列化回导致远程代码执行,即使反序列化缺陷不会导致远程代码执行,攻击者也可以利用它们来执行攻击,包括重播攻击、注入攻击和特权升级攻击。

九、 SSRF漏洞

SSRF全程是服务端请求伪造(Server-Side Request Forge,SSRF)漏洞,攻击者利用SSRF漏洞通过服务器发起伪造请求,这样就可以访问内网的数据,进行内网信息探测或者内网漏洞利用。
SSRF漏洞形成的原因是应用程序存在可以从其他服务器获取数据的功能,但是服务器的地址没有进行严格的过滤,导致应用程序可以访问任意的URL连接,攻击者通过进行构造URL连接,可以利用SSRF漏洞进行以下攻击

  1. 可以通过服务器获取内网主机、端口和Banner信息
  2. 对内网的应用程序进行攻击,如Redis、Jboss等
  3. 利用file协议读取文件
  4. 可以攻击内网程序并造成溢出

十、解析漏洞

Web容器解析漏洞会将其他类型的文件都当作脚本语言的文件进行解析,执行里面的代码,Web容器解析漏洞产生的原因是Web容器存在漏洞,导致在解析恶意构造的文件时,无论此文件是什么类型的文件,都会执行里面的代码
Web容器解析漏洞的危害极大,会造成服务器被远程控制,网页篡改,网站挂马,植入后门等危害
一般解析漏洞是配合文件上传的功能进行利用,常见的Web容器有IIS、Nginx、Apache、Tomcat和Lighttpd等。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

前端

安全

web安全

渗透测试

网络安全

Web渗透测试---Web TOP 10 漏洞 的相关文章

随机推荐

  • HTML DOM Document对象

    HTML DOM 节点 在 HTML DOM Document Object Model 中 每一个元素都是 节点 文档是一个文档节点 所有的HTML元素都是元素节点 所有 HTML 属性都是属性节点 文本插入到 HTML 元素是文本节点

  • Spring事务UnexpectedRollbackException异常抛出原因深度分析及解决方案

    Transaction rolled back because it has been marked as rollback only 中文翻译为 事务已回滚 因为它被标记成了只回滚 这个异常 相信写代码多年的大家 都遇到过 什么原因呢 今

  • 常见漏洞细细分类

    从提交列表中整理了一份 常见漏洞细细分类 腾讯安全应急响应中心 Web漏洞 普通反射型XSS 存储型XSS 基于DOM的XSS 基于Flash的XSS 命令注入 SQL注入 上传漏洞 信息泄漏 SSRF漏洞 读类型CSRF 写类型CSRF

  • CentOS7安装MySQL8

    文章目录 一 前言 二 Centos 7 安装 mysql8 步骤 1 下载MySQL官方的 Yum Repository 2 安装 方法一 用wget 下载后安装 方法二 下载 RMP 软件包将该软件包上传到 Linux 服务器 并安装

  • html 微信声音自动播放 和 滑动屏幕播放

    html 微信声音自动播放 和 滑动屏幕播放

  • 【Flutter 2-3】Flutter手把手教程UI布局和Widget——容器控件Container

    作者 弗拉德 来源 弗拉德 公众号 fulade me Container 我们先来看一下Container初始化的参数 Container Key key 位置 居左 居右 居中 this alignment EdgeInsets Con

  • C++的std::vector<bool>转储文件

    文章目录 前言 获取数据源地址 MSVC GCC 数据地址获取方法 结果 总结 前言 总所周知 C 的std vector

  • Mac 双系统之windows坏了咋办

    1 背景 Mac mini 装了个双系统 windows 系统太慢 准备重装 本来想着直接恢复出厂 结果根本不能这么操作 由于默认启动盘设置的是windows系统 然后就出现了 起不来的情况 其实之前也遇到过 就是忘了 折腾了好久这里记录一

  • React-router导入Link报错

    按以下导入 出现 Link is not exported from react router 错误 import Router Route Link from react router 解决方案 yarn add react router

  • Python音视频开发:消除抖音短视频Logo的图形化工具实现过程详解

    前往老猿Python博文目录 一 引言 在 Python音视频开发 消除抖音短视频Logo和去电视台标的实现详解 节介绍了怎么通过Python Moviepy OpenCV实现消除视频Logo的四种方法 并提供了详细的实现思路和实现代码 但

  • Kitti Stereo dataset 2015

    发现国内很多人分享kitti目标检测数据集 但少有分享立体匹配数据集的朋友 所以特做此分享 下载链接 2015 https s3 eu central 1 amazonaws com avg kitti data scene flow zi

  • 立创3D导入AD+AD的板子颜色改变

    立创3D导入AD AD的板子颜色改变 文章目录 立创3D导入AD AD的板子颜色改变 介绍 结果图展示 环境情况 3D板子换颜色 3D模型的寻找 3D模型的导入 总结 介绍 AD中默认的绿色板子一点逼格都没有 还缺了很多3D封装 想美化下

  • 提交form表单 报错:POST http://localhost:8080/user/login 404 原因及解决方法

    原因 1 input没有设置name属性 jquery获取不到 更新 文章里边举得例子 稍微有点不恰当 button 千万不要用input标签 要不然servlet就会从它上获取数据 结果还会报错 报这种错误 说明jquery库中的方法 运

  • 前端的对决:React的JSX与Vue的templates

    请点击此处输入图片描述 React js和Vue js是这个星球上最流行的JavaScript库 它们都很强大 相对来说很容易获取和使用 React和Vue的共性 使用虚拟DOM 提供响应式视图组件 专注于开发过程中的一个方面 目前集中在视

  • 因为git忽略大小写而浪费的一天一夜修复bug

    改了多语言文件名 将小写改为大写 vite项目重新发布后 测试环境报找不到这个文件的错误 心路历程分析 1 第一反应是缓存问题 后清除浏览器缓存 vite项目版本号改动 强制清除vite包缓存 使用 force命令 报错 需要再研究一下 都

  • 【刷题笔记】——day.4 路径问题总结

    学习目标 用于记录每日刷的题目为了明年的python组蓝桥杯做准备 今天是打卡的第四天 冲 原题一 不同路径 题目描述 一个机器人位于一个 m x n 网格的左上角 机器人每次只能向下或者向右移动一步 机器人试图达到网格的右下角 问总共有多

  • Windows IntelliJ IDEA 快捷键终极大全

    目录 自动代码 查询快捷键 其他快捷键 调试快捷键 重构 十大Intellij IDEA快捷键 1 智能提示 2 重构 3 代码生成 4 编辑 5 查找打开 6 其他辅助 太难割舍 前三名并列吧 自动代码 常用的有fori sout psv

  • docker部署的mysql容器数据插入中文乱码问题及其衍生问题

    docker部署的mysql容器数据插入中文乱码问题及其衍生问题 前言 笔者使用的mysql时部署在docker容器中的 版本是5 5部分内容参考了https blog csdn net weixin 42168191 article de

  • node.js的文件操作常用命令

    在学习node的时候我们会经常用到一些文件的操作 所以来总结一些常用的文件操作 首先用文件操作之前要导入nodejs的文件模块 const fs require fs 写文件的模块 下面就是nodejs的一些常用文件命令 很详细的注解了 w

  • Web渗透测试---Web TOP 10 漏洞

    文章目录 前言 一 注入漏洞 二 跨站脚本 xss 漏洞 三 文件上传漏洞 四 文件包含漏洞 五 命令执行漏洞 六 代码执行漏洞 七 XML外部实体 XXE 漏洞 八 反序列化漏洞 九 SSRF漏洞 十 解析漏洞 前言 常见的漏洞有注入漏洞

热门标签