摘要:
原理 服务器允许向其他服务器获取资源,但是并没有对该地址做严格的过滤和限制,导致攻击者可以以此为跳板攻击远程和本地服务器 危害 1、内网端口扫描 2、读取系统本地文件 3、内网Web应用指纹识别 4、攻击内网应用 防御 1、限制协议 仅允许http和https请求。 2、限制IP 避免应用被用来获取 阅读全文
posted @ 2022-04-01 23:11
xiugo
阅读(96)
评论(0)
推荐(0)
摘要:
成功利用的条件 受害者用处于登陆状态的浏览器访问了攻击者精心伪装好的恶意链接 阅读全文
posted @ 2022-04-01 23:09
xiugo
阅读(47)
评论(0)
推荐(0)
摘要:
一、原理 Web应用程序混淆了用户提交的数据和JS脚本的代码边界,导致浏览器把用户的输入当成了JS代码来执行 二、分类 1、反射型 2、存储型 3、DOM型 三、区别 反射型XSS:经过服务器解析,但攻击代码不存储在数据库中,是非持久型的 存储型XSS:经过服务器解析,攻击代码不存储在数据库中,是持 阅读全文
posted @ 2022-04-01 23:08
xiugo
阅读(213)
评论(0)
推荐(0)
摘要:
一、原理 WEB应用程序对用户输入的数据没有过滤或者过滤的不严谨,把用户输入的数据当作SQL语句带入到数据库中去执行,导致恶意SQL语句被执行 二、分类 1、从反馈结果来分 回显型、盲注 2、从攻击手法上来分 联合查询注入、堆叠注入、报错注入、盲注(布尔盲注、时间盲注) 三、防御 1、对用户输入的内 阅读全文
posted @ 2022-04-01 22:55
xiugo
阅读(58)
评论(0)
推荐(0)
浙公网安备 33010602011771号