米斯特安全day2

基础-弱口令、html注入

 

漏洞：

　　弱口令

　　html注入、xss跨站、csrf客户端请求伪造、ssrf服务端请求伪造

　　sql注入、逻辑漏洞、越权漏洞、未授权访问

　　文件读取、文件上传、文件包含、文件下载

　　代码注入、命令执行、威胁情报

 

前端：发生在客户端浏览器上的

后端：发生在服务端上的

 

弱口令：

　　密码字典生成器(社工)：https://www.bugku.com/mima/

　　应用场景：后台登陆处

　　结合burpsuite工具进行爆破

 

html针剂注入：在html页面中插入html，一般应用于get请求中

　　修复：php中的htmlspecialchars()函数可规避，htmlspecialchars.($_get['html'])