hvv知识点(基础)
hv面知识点整理
又到了每年hvv的时间段了,今年也是报名了hvv行动,然后对于面试还没啥太大的把握,就在此整理总结一些大佬们的hvv面试经验。
1.SQL注入的分类
(1)Bool盲注
(2)时间注入
(3)报错注入
(4)堆叠注入
(5)二次注入
(6)宽字节注入
(7)Cookie注入
(8)Union联合注入
2.关系型数据库-非关系型数据库
关系型:
MySQL:3306
SQL Server:1433
Oracle:1521
DB2:5000
MongoDB:27017—非关系型数据库
非关系型:
Redis:6379
Memcached:11211
PHP反序列化
3.PHP代码执行的危险函数
1.call_user_func()
2.call_user_func_array()
3.create_function()
4.array_map()
4.中间件漏洞
(1)IIS:PUT漏洞、短文件名猜解、远程代码执行、解析漏洞
(2)Apache:解析漏洞、目录遍历
(3)JBOSS:反序列化漏洞、war后门文件部署
(4)Tomcat:远程代码执行、war后门文件部署
(5)Weblogic:反序列化漏洞 SSRF任意文件上传 war后门文件部署
(6)Apache Shiro反序列化漏洞:
Shiro rememberMe(Shiro-550)
Shiro Padding Oracle Attack(Shiro-721)
5.XSS攻击
类型:反射型,dom型,存储型
原理:dom型是存在于dom文档中,用户可以通过JavaScript改变dom节点。
区别:反射性与存储型经过了服务器,而dom型存在于dom文档里不会经过服务器。
防御:html实体编码,json编码,设置cookie的HttpOnly属性
利用:反射与dom型都是通过发送url给受害者进行攻击,而存储型是用户访问该页面就会遭受攻击。
6.文件上传
原理:
网站存在上传文件(如图片,头像)功能且未做严格验证和过滤,用户可以上传可执行脚本程序目的。(如一句话木马文件)
文件上传一般需要能够直接访问到上传的文件,如果后台对你上传的文件进行了修改后缀,文件名或者你找不到那个目录就利用不了。此时一般结合文件包含使用。
绕过:
一、前端js绕过
二、针对文件类型绕过
三、win系统解析漏洞绕过
四、中间件解析绕过(如iis,apche)等
具体实例可参考大佬的文章文件上传
7.CSRF与SSRF
csrf:客户端请求伪造
ssrf:服务器端请求伪造
一个是伪造成客户端向服务器发送请求,一个是伪造服务器向内网或者其他服务器发送请求。
具体操作链接
8.常见端口
hvv知识点(基础)相关推荐
- 软件开发知识点基础介绍
软件开发知识点基础介绍 软件:即一系列按照特定顺序组织的计算机数据和指令的集合,有系统软件和应用软件之分. 系统软件:windows,mac,linux,unix,android,ios- 应用软件: ...
- 清华学长免费分享Java基础核心知识点基础篇(2)
Java编程作为入门比较容易的编程语言,发展前景很好,非常适合零基础的小白入门学习. 对所学知识点没有全面了解,学习的过程中容易进入误区,影响学习进度,成从入门到放弃.所以,今天播妞整理了一些适合小白 ...
- python面试知识点—基础篇
Python基础 这篇博客看起来是针对面试题给出答案,实际上在查这些资料的过程中笔者也学到了很多基础知识,无论你是python新手还是已经遗忘了这些知识点的大牛,都建议去发散性的去看看大多数问题下面给 ...
- 【计算机与UNIX汇编原理⑫】——汇编考前复习【重要知识点 + 基础题 + 易错题 + 难题解析】
✅ 本文主要是在汇编考试前的做的复习整理. 文章目录 第一章:微型计算机基础 第二章:80X86微处理器 第三章:汇编语言指令集 第四章:汇编语言程序设计 五.参考附录 EDG 加油!⌨️ 上一篇文章 ...
- PHP应用开发知识点基础
PHP基础 PHP概述 什么是PHP PHP的特点 PHP的应用领域 PHP的基础语法 PHP语言基础 PHP文件格式 PHP语言标记 PHP语法和注释 PHP的数据类型 标量数据类型 1.布尔型(b ...
- 整理JAVA知识点--基础篇,能力有限不足地方请大神们帮忙完善下
又是找工作的季节到了,该看看了 转载于:https://www.cnblogs.com/MagicalFool/p/10436587.html
- java知识点--基础篇(5)
大数值和数组 1.大数值 1.1 如果基本的整数和浮点数精度不满足需求,那么可以使用java.math包中的BigInteger和BigDecimal来处理包含任意长度序列的数值. 1.2 可以使用静 ...
- 全国二级计算机理论知识,2021年度全国计算机等级考试二级MSOffice常考知识点基础知识部分.doc...
计算机发展.类型及其应用领域. 计算机(computer)是一种能自动.高速进行大量算术运算和逻辑运算电子设备. 其特点为:速度快.精度高.存储容量大.通用性强.具备逻辑判断和自动控制能力. 第一台计 ...
- 计算机的it入门知识点,基础乐理知识点电脑基础知识IT计算机专业资料-基础乐理知识点(5页)-原创力文档...
1. 1. 谱号是用来确定五线谱上音级名称和音高的符号. 谱号是用来确定五线谱上音级名称和音高的符号. 谱表就是五线谱上加上谱号.单行谱表常用的有 : 2.谱表就是五线谱上加上谱号.单行谱表常用的有 ...
最新文章
- 第三十一课.矩阵胶囊与EM路由
- 偏移shaderuv_Unity Shader UV平移、旋转、缩放效果
- 转:金牌网管师初级网络实验手册
- 让机器有温度:带你了解文本情感分析的两种模型
- MFC编辑多文档的标题
- 有关Silverlight TreeView组件的研究[2]——Silverlight学习笔记(7)
- 权限问题导致无法删除ftp文件
- 阶段2 JavaWeb+黑马旅游网_15-Maven基础_第5节 使用骨架创建maven的java工程_17maven工程运行环境修改...
- python alembic which comes from SQLalchemy
- TCP数据的传输过程
- C语言队列单链表实现(通俗易懂),可直接使用
- 更改Servlet需要重启Tomcat
- 中医经典《伤寒论》-原文
- Personal deposit calculator(个人存款计算器)C#实现
- phpadmin安装到mysql中_PHPAdmin的安装和配置
- Html5--audio标签使用教程
- 西安80投影坐标系转WGS84地理坐标系如何求七参数
- srs视频服务器搭建与使用
- matlab 图像隐藏,将Matlab下隐藏的图形保存为相同大小的图像
- Web前端期末大作业-生鲜商城平台公司网站网页设计(HTML+CSS+JS)