0x01 漏洞理解篇(Vulnerability)

前端

  • 跨域安全

后端逻辑

0x02 漏洞利用篇(Exploit)

SQL injection - MySQL

XSS

CSRF

SSRF

XXE

SSTI - Python

反序列化漏洞-PHP

包含漏洞-PHP

Node.js原型链污染

DNS rebinding攻击

0x03 代码审计篇(Audit)

  • PHP调试环境的搭建

  • PHP代码审计

0x04 渗透篇(Penetration)

网络预置

  • 信息收集思路

后门&维持会话

隧道

  • 内网代理工具 Venom

协同

  • HackMD markdown协同工具(Docker版)

学习地址:https://github.com/ReAbout/web-sec

Web安全手册(漏洞理解、漏洞利用总结)相关推荐

  1. Web安全 PHP反序列化漏洞的 测试.(可以 防止恶意用户利用漏洞)

    PHP反序列化漏洞的概括: 开发的程序员 没有对用户输入的序列化字符串做一个严格检测,导致恶意的用户可以控制反序列化的一个过程,因此导致XSS漏洞,代码执行,SQT注入,目录遍历等不可控后果.在反序列 ...

  2. %3c xml 和php冲突,[原创]WEB安全第五章 漏洞学习与利用11 xml实体注入

    WEB安全第五章 漏洞学习与利用11 xml实体注入 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数 ...

  3. web渗透测试思路浅谈-----漏洞发现及利用

    0x02 漏洞发现及利用 1.SQL注入 SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中,再将这些参数 传递给后台的SQL数据库加以解析并执行的漏洞,具体过程如下: 注入类型有get ...

  4. CVE-2013-2551漏洞成因与利用分析(ISCC2014 PWN6)

    CVE-2013-2551漏洞成因与利用分析 1. 简介 VUPEN在Pwn2Own2013上利用此漏洞攻破了Win8+IE10,5月22日VUPEN在其博客上公布了漏洞的细节.它是一个ORG数组整数 ...

  5. 【安全】Java(web)项目安全漏洞及解决方式【面试+工作】

    文章目录 问题 一.安全性问题层次关系 二.安全性问题的本质 三.安全漏洞及处理方式 1.SQL注入攻击 2.XSS跨站脚本攻击 3.CSRF跨站请求伪造漏洞防护 4.URL链接注入漏洞防护 5.会话 ...

  6. WEB安全全基础漏洞学习

    本文省略了SQL注入和xss漏洞,需要的可以网上找资料,资料非常多 web安全全基础漏洞学习 CSRF 简介 跨站请求伪造 (Cross-Site Request Forgery, CSRF),也被称 ...

  7. Java(web)项目安全漏洞及解决方式【面试+工作】

    Java(web)项目安全漏洞及解决方式[面试+工作] 一.安全性问题层次关系 大家经常会听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不 ...

  8. Web安全—逻辑越权漏洞(BAC)

    逻辑越权漏洞 漏洞分类:逻辑越权漏洞属于漏洞分类中的服务端漏洞,属于权限控制类漏洞 漏洞简介: 越权漏洞是比较常见的漏洞类型,通常分为两种类型,垂直和水平越权,简单可以理解为,在修改某个用作身份标识的 ...

  9. 【SSRF-01】服务器端请求伪造漏洞原理及利用实例

    目录 1 基础知识 1.1 概述 1.2 原理 1.3 危害 2 SSRF漏洞利用实例 2.1 实验环境及实验前准备 2.2 SSRF漏洞的利用实例 2.2.1 正常访问 2.2.2 端口扫描-扫描内 ...

最新文章

  1. es6 依赖循环_探索 JavaScript 中的依赖管理及循环依赖
  2. correl函数相关系数大小意义_矩阵的转置的意义
  3. sscanf,sprintf,fscanf,fprintf 系列函数
  4. html5 居中 字体 字号,css字体水平居中
  5. Ogre 2011-11-30
  6. asp.net Core 中间件Hello world
  7. 【英语学习】【Daily English】U05 Places L01 How can I get to the city museum?
  8. 如何实现用DataGridView来做统计表格
  9. coreseek mysql_centos+php+coreseek+sphinx+mysql之一coreseek安装篇
  10. 浅谈《软件工程》常用的几种软件开发方法
  11. 2021机器学习面试必考面试题汇总(附答案详解)
  12. B1105 Spiral Matrix (画图)
  13. 图示代码,轻松解决IV值计算问题(python)
  14. hotmail邮箱登录服务器,hotmail邮箱登录页面在哪 hotmail邮箱账号登录设置教程
  15. 直接管理和维护计算机系统的程序称为,全国2008年04月自学考试计算机原理试题及答案.doc...
  16. 轨道交通通信施工学习总结(四)漏泄同轴电缆安装
  17. 【Python】在Anaconda中设置清华镜像站并解决“http error“问题
  18. js alert弹窗函数
  19. blast java_使用python实现BLAST
  20. [PTA]练习5-3 数字金字塔

热门文章

  1. java retry(重试) spring retry, guava retrying 详解
  2. 全国地铁城市数据分析(python实现)
  3. 垃圾收集算法与垃圾收集器
  4. PAT甲级 -- 1103 Integer Factorization (30 分)
  5. 分布式CAP理论:为什么CAP理论中的三个指标不能同时满足呢?
  6. 18行代码AC——PTA 二叉树的遍历 (10分)——解题报告
  7. LinkedBlockingQueue的put,take方法
  8. android 4.0 电话录音,ANDROID音频系统散记之四:4.0音频系统HAL初探
  9. @async注解_SpringBoot中Async异步方法和定时任务介绍
  10. 电脑桌面便签小工具_iPhone12系列售价曝光,苹果手机上有什么好用的便签记事本软件推荐吗...