hv面知识点整理

又到了每年hvv的时间段了，今年也是报名了hvv行动，然后对于面试还没啥太大的把握，就在此整理总结一些大佬们的hvv面试经验。

1.SQL注入的分类

（1）Bool盲注
（2）时间注入
（3）报错注入
（4）堆叠注入
（5）二次注入
（6）宽字节注入
（7）Cookie注入
（8）Union联合注入

2.关系型数据库-非关系型数据库

关系型：
MySQL：3306
SQL Server：1433
Oracle：1521
DB2：5000
MongoDB：27017—非关系型数据库

非关系型：
Redis：6379
Memcached：11211
PHP反序列化

3.PHP代码执行的危险函数

1.call_user_func()
2.call_user_func_array()
3.create_function()
4.array_map()

4.中间件漏洞

（1）IIS：PUT漏洞、短文件名猜解、远程代码执行、解析漏洞
（2）Apache：解析漏洞、目录遍历
（3）JBOSS：反序列化漏洞、war后门文件部署
（4）Tomcat：远程代码执行、war后门文件部署
（5）Weblogic：反序列化漏洞 SSRF任意文件上传 war后门文件部署
（6）Apache Shiro反序列化漏洞：
Shiro rememberMe（Shiro-550）
Shiro Padding Oracle Attack(Shiro-721)

5.XSS攻击

类型：反射型，dom型，存储型
原理：dom型是存在于dom文档中，用户可以通过JavaScript改变dom节点。
区别：反射性与存储型经过了服务器，而dom型存在于dom文档里不会经过服务器。
防御：html实体编码，json编码，设置cookie的HttpOnly属性
利用：反射与dom型都是通过发送url给受害者进行攻击，而存储型是用户访问该页面就会遭受攻击。

6.文件上传

原理：
网站存在上传文件(如图片，头像)功能且未做严格验证和过滤，用户可以上传可执行脚本程序目的。(如一句话木马文件)
文件上传一般需要能够直接访问到上传的文件，如果后台对你上传的文件进行了修改后缀，文件名或者你找不到那个目录就利用不了。此时一般结合文件包含使用。

绕过：
一、前端js绕过
二、针对文件类型绕过
三、win系统解析漏洞绕过
四、中间件解析绕过（如iis，apche）等
具体实例可参考大佬的文章文件上传

7.CSRF与SSRF

csrf：客户端请求伪造
ssrf：服务器端请求伪造
一个是伪造成客户端向服务器发送请求，一个是伪造服务器向内网或者其他服务器发送请求。
具体操作链接

8.常见端口

hvv知识点（基础）相关推荐

1. 软件开发知识点基础介绍

   软件开发知识点基础介绍 软件:即一系列按照特定顺序组织的计算机数据和指令的集合,有系统软件和应用软件之分. 系统软件:windows,mac,linux,unix,android,ios- 应用软件: ...

2. 清华学长免费分享Java基础核心知识点基础篇（2）

   Java编程作为入门比较容易的编程语言,发展前景很好,非常适合零基础的小白入门学习. 对所学知识点没有全面了解,学习的过程中容易进入误区,影响学习进度,成从入门到放弃.所以,今天播妞整理了一些适合小白 ...

3. python面试知识点—基础篇

   Python基础 这篇博客看起来是针对面试题给出答案,实际上在查这些资料的过程中笔者也学到了很多基础知识,无论你是python新手还是已经遗忘了这些知识点的大牛,都建议去发散性的去看看大多数问题下面给 ...

4. 【计算机与UNIX汇编原理⑫】——汇编考前复习【重要知识点 + 基础题 + 易错题 + 难题解析】

   ✅ 本文主要是在汇编考试前的做的复习整理. 文章目录 第一章:微型计算机基础 第二章:80X86微处理器 第三章:汇编语言指令集 第四章:汇编语言程序设计 五.参考附录 EDG 加油!⌨️ 上一篇文章 ...

5. PHP应用开发知识点基础

   PHP基础 PHP概述 什么是PHP PHP的特点 PHP的应用领域 PHP的基础语法 PHP语言基础 PHP文件格式 PHP语言标记 PHP语法和注释 PHP的数据类型 标量数据类型 1.布尔型(b ...

6. 整理JAVA知识点--基础篇，能力有限不足地方请大神们帮忙完善下

   又是找工作的季节到了,该看看了 转载于:https://www.cnblogs.com/MagicalFool/p/10436587.html

7. java知识点--基础篇（5）

   大数值和数组 1.大数值 1.1 如果基本的整数和浮点数精度不满足需求,那么可以使用java.math包中的BigInteger和BigDecimal来处理包含任意长度序列的数值. 1.2 可以使用静 ...

8. 全国二级计算机理论知识,2021年度全国计算机等级考试二级MSOffice常考知识点基础知识部分.doc...

   计算机发展.类型及其应用领域. 计算机(computer)是一种能自动.高速进行大量算术运算和逻辑运算电子设备. 其特点为:速度快.精度高.存储容量大.通用性强.具备逻辑判断和自动控制能力. 第一台计 ...

9. 计算机的it入门知识点,基础乐理知识点电脑基础知识IT计算机专业资料-基础乐理知识点（5页）-原创力文档...

   1. 1. 谱号是用来确定五线谱上音级名称和音高的符号. 谱号是用来确定五线谱上音级名称和音高的符号. 谱表就是五线谱上加上谱号.单行谱表常用的有 : 2.谱表就是五线谱上加上谱号.单行谱表常用的有 ...

最新文章

1. 第三十一课.矩阵胶囊与EM路由
2. 偏移shaderuv_Unity Shader UV平移、旋转、缩放效果
3. 转:金牌网管师初级网络实验手册
4. 让机器有温度：带你了解文本情感分析的两种模型
5. MFC编辑多文档的标题
6. 有关Silverlight TreeView组件的研究[2]——Silverlight学习笔记(7)
7. 权限问题导致无法删除ftp文件
8. 阶段2 JavaWeb+黑马旅游网_15-Maven基础_第5节 使用骨架创建maven的java工程_17maven工程运行环境修改...
9. python alembic which comes from SQLalchemy
10. TCP数据的传输过程
11. C语言队列单链表实现（通俗易懂），可直接使用
12. 更改Servlet需要重启Tomcat
13. 中医经典《伤寒论》-原文
14. Personal deposit calculator（个人存款计算器）C#实现
15. phpadmin安装到mysql中_PHPAdmin的安装和配置
16. Html5--audio标签使用教程
17. 西安80投影坐标系转WGS84地理坐标系如何求七参数
18. srs视频服务器搭建与使用
19. matlab 图像隐藏,将Matlab下隐藏的图形保存为相同大小的图像
20. Web前端期末大作业-生鲜商城平台公司网站网页设计（HTML+CSS+JS）

热门文章

1. International Classification for Standards 国际标准分类号
2. 用Python爬取今日头条，里面的东西统统白送！
3. 描绘软件结构的图形工具：层次图和结构图（层次图和层次方框图的区别）
4. （三）改掉这些坏习惯，还怕写不出优雅的代码？
5. 好程序员大数据培训分享大数据概述
6. 运维-Linux简介
7. 常见的传输介质及其特性
8. spring入门例子
9. N4，C1,C4汽车（前、后装）芯片NEXTCHIP品牌。
10. Firebase入门使用 01