Web渗透测试—Web漏洞

Posted 2022-03-16 王同学要努力

【Web渗透测试】—Web漏洞

漏洞利用情景

CTF，SRC，红蓝对抗，实战等

漏洞危害情况

SQL注入：可以获取数据库权限，得到数据库中的数据

文件上传：直接获取网站权限

XSS跨站：获取网站后台权限

漏洞等级划分

高危：涉及数据的安全和权限的丢失，SQL注入、文件上传、文件包含、代码执行、未授权访问、命令执行

中危：有一部分影响，反序列化、逻辑安全

低危：小部分的信息泄露，信息不是指数据，是指网站的源码，部分的账号密码，影响不大的情况，XSS跨站、目录遍历、文件读取

漏洞重点内容

CTF：文件上传、SQL注入、反序列化、代码执行，特别是反序列化

SRC：几乎都能出现，特定目标中逻辑安全比较多

红蓝对抗：基本上是高危漏洞，文件上传、文件包含、代码执行、命令执行

漏洞形势问题

漏洞找不到，可能是信息收集不到位；工具不合适；不了解漏洞原理，导致判断时出现了遗漏 。