安全测试笔记及实战

最近一直在研究安全测试,感觉自己还没有入门。不敢说是入门教程,本篇就是本人单纯的一个笔记而已。

(心虚,来个图镇楼)

安全测试笔记及实战_第1张图片

简单说下一般的漏洞

Web应用漏洞:

1SQL注入

2XSS跨站脚本(存储+反射)

3、命令注入

业务逻辑漏洞:  

 1、支付漏洞

2、越权漏洞(垂直+水平) 

1.SQL注入:

1.1SQL注入概述

SQL注入是这样一种漏洞:应用程序在向后台数据库传递SQL查询时,如果为攻击者提供了影响该查询的能力,则会引发SQL注入。

1.2SQL输入原理

用户输入数据,作为SQL语句执行

1.3漏洞类型及危害

漏洞类型:

a.布尔型注入

b.时间延迟型注入

 c.报错型注入

漏洞危害:

  脱裤,获取服务器权限

1.4SQL注入实战

2.XSS跨站脚本(用户输入数据,作为HTML代码输出到前端页面执行)

2.1概述:

跨站脚本(XSS)属于浏览器前端攻击方法中的一种,通常指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页面时,嵌入Web页面里面的html代码会被执行

2.2类型及危害:

XSS包括两种类型

       存储性XSS:恶意代码持久保存在服务器上。

    反射式XSS:恶意代码不保留在服务器上,而是通过其他形式实时通过服务器反射给普通用户

XSS漏洞危害:

盗取用户身份cookie, 劫持访问,拒绝服务攻击, 篡改网页

       模拟用户身份发起请求或执行命令

       蠕虫,等等……

 

你可能感兴趣的:(安全测试)