网易WEB白帽子

02..WEB安全基础

1.钓鱼

诱惑性的标题，仿冒真实网址，骗取用户账户，骗取用户资料

2.网页‘篡改’

hacked by

Intitle : keyword 标题中还有关键字的网页

Intext : keyword 正文中还有关键字的网页

Site : domain 在某个域名或者子域名下的网页

3. 暗链

隐藏在网站中的链接

网游/医疗/博彩/色情

提高网站排名

4. Webshell(后门)

web后门获取权限

XSS 跨站脚本

黑客通过‘HTML’篡改网页，插入恶意脚本，当用户在浏览网页时，实现控制用户浏览器行为的一种攻击方式。

XSS分类

1. 存储型

• 访问网站，触发XSS(Firebug插件)
• < img src = ‘’#‘’onerror = 'alert(hello)'> # 不是一个有效的图片，导致加载失败,进而触发事件
• 
• 

1. 反射型

• 访问携带带有XSS脚本的链接，触发XSS
• 通过后端WEB应用程序将XSS脚本，将XSS脚本写入响应页面中，在浏览器在响应页面时触发XSS
• 
• 
• 
• 
• 

1. DOM型

• 访问携带带有XSS脚本的链接，触发XSS（不在URL参数中，在URL的哈希中）哈希的#分隔符
• 前端用JavaScript将XSS脚本写入DOM中，触发XSS
• 
• 
• 
• 

CSRF 跨站请求伪造

利用用户已登录的身份，在用户不知道的情况下，以用户的名义完成非法操作。

1. 
   
   

点击挟持

通过覆盖不可见的框架诱导受害者点击而造成的攻击行为。

iframe

UI-覆盖

URL跳转

借助未未验证的URL跳转，将应用程序引导到不安全的第三方区域，从而引导的安全问题。

1. Header头跳转
   

2. Javascript跳转
   

3. META标签跳转
   

SQL注入

访问修改数据，或者利用潜在的数据库漏洞进行攻击

命令注入

CURL命令

D:\test>curl -I "http://www.163.com" HTTP/1.0 302 Moved Temporarily Allow: GET,POST,HEAD MIME-Version: 1.0 Server: NetEngine Server 1.0 Pragma: No-Cache Location: http://691.gd165.com:8000/shx_691/

& 转义 %26

文件操作漏洞

文件上传

文件下载

文件包含漏洞

1. 本地文件包含

2. 远程文件包含

网易WEB白帽子-WEB安全基础相关推荐

1. 网易WEB白帽子 -WEB安全工具

   网易WEB白帽子 03 WEB安全工具 1. 浏览器 内容设置 允许弹窗 可运行Javascript脚本 内容设置 www.hackthissite.org 插件 HackBar Advanced C ...

2. 网易WEB白帽子-WEB安全体系建设

   网易WEB白帽子 05 WEB安全体系建设 SDL 安全开发生产周期 提升WEB应用的安全性 减少WEB应用的的安全漏洞 降低安全漏洞的修复成本 SRC 安全应急响应中心 WAF WEB安全应用防火墙

3. 米斯特白帽子WEB安全攻防培训-信息收集

   1.信息收集 米斯特白帽子WEB安全攻防培训第二期-讲师:gh0stkey 0x00 信息收集什么? 咱们老是说信息收集,可是到底收集什么东西你知道? 在渗透测试中,信息收集一切都是从某个网址.IP地 ...

4. 2018最新网易云课堂 web白帽子培训教程 价值2000元

   课程介绍: 网易白帽子教程就是网易云课堂微专业白帽子黑ke训练营教程,来自以品质著称的网易云课堂的<Web安全工程师微专业>,由7位网易安全大牛与多位云课堂教育专家匠心打造,是一套从入门到 ...

5. 白帽子黑客零基础教程，手把手带你实现“黑客梦”

   免责声明 ⚠特别说明:此教程为纯技术教学!严禁利用本教程所提到的漏洞和技术进行非法攻击,本教程的目的仅仅作为学习,决不是为那些怀有不良动机的人提供技术支持!也不承担因为技术被滥用所产生的连带责任!⚠ ...

6. 网易web白帽子学习笔记

   部分转载他人 一.web基础知识 1.1.1web介绍 world wide web 万维网 web1.0 个人网站.门户站点  静态页面 web2.0 微博.博客交互式页面 随之而来有一些安全问题: ...

7. 笔记（米斯特白帽子WEB安全攻防培训第二期）（基础01）

   Autor:米斯特安全团队-gh0stkey 什么是渗透测试? 举一个例子: 水通过海绵的小孔透过海绵的过程. 海绵=目标 水=测试者 小孔=漏洞 渗透测试者尽可能完整地模拟黑客使用的漏洞发现技术和攻 ...

8. 价值2500元网易web白帽子黑客培训

   下载地址:百度网盘

9. 最新价值2500元 网易web白帽子黑客培训视频

   下载地址:百度网盘

最新文章

1. 前端学习 -- Css -- 伪元素
2. Python编程的若干个经典小技巧
3. java wcf 未提供用户名_WCF的用户名密码认证
4. java 入参 是 枚举_java 枚举 参数传递
5. Android 组件系列-----Activity初步
6. vue hot true 不起作用_Vue + Flask 小知识（二）
7. php，mysql 小测验 习题解析
8. 重庆理工大学图像处理实验二：图像增强
9. ssh互相免密登录_linux服务器之间实现ssh免密码登录的方法
10. 对待谈判：对方耍赖咱也耍赖
11. putty以及psftp的基本操作，使用方法等
12. 开始写博客---越来越笨的脑子
13. 20162330 第三周 蓝墨云班课 泛型类-Bag 练习
14. 我是如何揭穿“娱乐圈”大佬
15. dede config.chche.inc.php,dedecms 后台修改系统设置，但是config.cache.inc.php文件不能写入...
16. 红黑数和普通的二叉排序树有什么要求
17. 百度地图瓦片层级范围对照表
18. . net core在图片上写字
19. 自己更换云平台绑定QQ号的方法
20. [WP/CTFshow]XSS Web316-333

热门文章

1. 根据下拉框的选择显示不同图片
2. python获取文件夹下所有图片目录
3. 2021-2027全球与中国甜椒粉市场现状及未来发展趋势
4. （一）Scala环境搭建
5. 怎么创建一个自己的网站并从外网可以访问
6. jquery利用雅虎YQL 做中间层进行跨域请求
7. Docker 出现docker: no matching manifest for windows/amd64 10.0.18363 in the manifest list entries.已解决
8. 【FXCG】美国通胀爆表，美联储三月加息恐从50基点起步
9. 基于百度地图API实现“网易出行“
10. python如何导入requests模块_浅谈python中requests模块导入的问题