WEB—漏洞必懂知识点

 

CTF，SRC，红蓝对抗，实战等

SRC：针对与网站上面的漏洞，进行提交漏洞并证实可以获得相应的佣金。

偏向于实战，重点掌握获取网站权限

 

漏洞等级划分

高危：SQL注入，文件上传，文件包含，代码执行，未授权访问——直接影响到网站权限和数据库权限，能够直接获取数据或者获取到一些敏感信息

只要涉及到数据的安全和网站的权限，一般都属于高危漏洞。

中危：反序列化，逻辑安全——一部分影响。

低危：XSS跨站，目录遍历，文件读取——小部分信息泄露，可能是网站的源码，不会是很重要的信息。

 

漏洞重点内容

CTF中一般考sql注入，文件上传，反序列化，代码执行

SRC中所有漏洞类型基本都会出现，比较多的是逻辑安全

红蓝对抗中一般都是高危漏洞，强调权限