下载此文档

web常见漏洞与挖掘技巧.ppt

文档分类：IT计算机 | 页数：约57页举报非法文档有奖

1/57

下载提示

1.该资料是网友上传的，本站提供全文预览，预览什么样，下载就什么样。
2.下载该文档所得收入归上传者、原创者。
3.下载的文档，不会出现我们的网址水印。

同意并开始全文预览

(约 1-6 秒)

1/57 下载此文档

文档列表 文档介绍

WEB常见漏洞与挖掘技巧研究
广东动易网络——吴建亮
******@wooyun
.
目录
WEB常见漏洞及案例分析
WEB常见漏洞挖掘技巧
新型WEB防火墙可行性分析
Q/A
.
WEB常见漏洞及案例分析
SQL注入
XSS/CSRF
文件上传
任意文件下载
越权问题
其它
.
SQL注入
产生SQL注入的主要原因是SQL语句的拼接
.
近一个月，我在乌云上提交的SQL注入类型
具体可以看一下：

SQL注入是最常见，所以也是我在乌云上提交得最多的一种漏洞。
而这些注入漏洞中，大部分是完全没有安全意识（防注意识）而造成的。
只有少数才是因为编码过滤或比较隐蔽而造成的注入。
从另一个角度来说，目前大家对SQL注入还是不够重视，或者是开发
人员对SQL注入的了解还不够深刻。
.
案例：经典的万能密码
网站万能密码相信大家都不陌生。
但有没有想到这万能密码会出现在某安全公司的内部网站上？
不过安全公司不重视安全，出现低级的安全漏洞，在乌云上也不见少数。
.
第一次发现时，直接是
用户名：admin’ or ‘’=‘
密码：任意进入后台。
报告给官方后，官方的处理方式是直接加一个防火墙了事。（这种情况在乌云遇到过
几次，可能是不太重视的原因。）
.
防注与绕过从来就是一对天敌，一个通用的防火墙很难针对任何一处都做到安全，
只想跟厂商说一句，防注，参数化难道真那么难？代码过滤一下比加一道防火墙困难么？
绕过技巧：在firebug 下，把用户名的 input 改成 textarea ，为绕过输入特殊字符作准备
.
其实就是回车绕过防火墙规则的检测
.
再次成功进入后台。。
.

web常见漏洞与挖掘技巧来自淘豆网www.taodocs.com转载请标明出处.