web常见漏洞与挖掘技巧课件.pptVIP

WEB常见漏洞与挖掘技巧研究;目录;WEB常见漏洞及案例分析;SQL注入;近一个月，我在乌云上提交的SQL注入类型;案例：经典的万能密码;第一次发现时，直接是 用户名：admin’ or ‘’=‘ 密码：任意 进入后台。 报告给官方后，官方的处理方式是直接加一个防火墙了事。（这种情况在乌云遇到过 几次，可能是不太重视的原因。）;防注与绕过从来就是一对天敌，一个通用的防火墙很难针对任何一处都做到安全， 只想跟厂商说一句，防注，参数化难道真那么难？代码过滤一下比加一道防火墙困难么？;其实就是回车绕过防火墙规则的检测;再次成功进入后台。。;SQL注入关键字;XSS/CSRF;跨站脚本拿下某团购网;宦远期橇栓蓑辞弱本噬碰果罪用垮绑购纲澄氓胆嗡烯推宾躺尤九殆贯痰蛀web常见漏洞与挖掘技巧课件web常见漏洞与挖掘技巧课件;数分钟过后，脚本返回了某管理员的cookie信息，后台路径居然也记录在cookie那里去了，这就是跨站脚本带来的惊喜。;后面就顺利了，直接欺骗进入后台，扫描后台可以拿SHELL的地方，直接获得SHELL;腰比枉逆鸿柄妒砰捆颅旦菜雾理厩匹币同报径浸粗斤滨锋雏精昏灾树你筐web常见漏洞与挖掘技巧课件web常见漏洞与挖掘技巧课件;XSS/CSRF关键字;文件上传;简单找了一下乌云上的一些案例;文件上传关键字; 在开发中，由于比较多的情况是上传文件后辍由客户来配置，为了