Web安全学习笔记
1.0
内容索引:
1. 序章
2. 计算机网络与协议
3. 信息收集
4. 常见漏洞攻防
4.1. SQL注入
4.2. XSS
4.3. CSRF
4.4. SSRF
4.5. 命令注入
4.6. 目录穿越
4.7. 文件读取
4.8. 文件上传
4.9. 文件包含
4.10. XXE
4.11. 模版注入
4.12. Xpath注入
4.13. 逻辑漏洞 / 业务漏洞
4.14. 配置与策略安全
4.15. 中间件
4.16. Web Cache欺骗攻击
4.17. HTTP 请求走私
5. 语言与框架
6. 内网渗透
7. 云安全
8. 防御技术
9. 认证机制
10. 工具与资源
11. 手册速查
12. 其他
Web安全学习笔记
»
4.
常见漏洞攻防
View page source
4.
常见漏洞攻防
¶
内容索引:
4.1. SQL注入
4.1.1. 注入分类
4.1.2. 注入检测
4.1.3. 权限提升
4.1.4. 数据库检测
4.1.5. 绕过技巧
4.1.6. SQL注入小技巧
4.1.7. CheatSheet
4.1.8. 预编译
4.1.9. 参考文章
4.2. XSS
4.2.1. 分类
4.2.2. 危害
4.2.3. 同源策略
4.2.4. CSP
4.2.5. XSS数据源
4.2.6. Sink
4.2.7. XSS保护
4.2.8. WAF Bypass
4.2.9. 技巧
4.2.10. Payload
4.2.11. 持久化
4.2.12. 参考链接
4.3. CSRF
4.3.1. 简介
4.3.2. 分类
4.3.3. 防御
4.3.4. 参考链接
4.4. SSRF
4.4.1. 简介
4.4.2. 利用方式
4.4.3. 相关危险函数
4.4.4. 过滤绕过
4.4.5. 可能的利用点
4.4.6. 防御方式
4.4.7. 参考链接
4.5. 命令注入
4.5.1. 简介
4.5.2. 常见危险函数
4.5.3. 常见注入方式
4.5.4. 无回显技巧
4.5.5. 常见绕过方式
4.5.6. 常用符号
4.5.7. 防御
4.6. 目录穿越
4.6.1. 简介
4.6.2. 攻击载荷
4.6.3. 过滤绕过
4.6.4. 防御
4.6.5. 参考链接
4.7. 文件读取
4.8. 文件上传
4.8.1. 文件类型检测绕过
4.8.2. 攻击技巧
4.8.3. 防护技巧
4.8.4. 参考链接
4.9. 文件包含
4.9.1. 基础
4.9.2. 触发Sink
4.9.3. 绕过技巧
4.9.4. 参考链接
4.10. XXE
4.10.1. XML基础
4.10.2. 基本语法
4.10.3. XXE
4.10.4. 攻击方式
4.10.5. 参考链接
4.11. 模版注入
4.11.1. 简介
4.11.2. 测试方法
4.11.3. 测试用例
4.11.4. 目标
4.11.5. 相关属性
4.11.6. 常见Payload
4.11.7. 绕过技巧
4.11.8. 参考链接
4.12. Xpath注入
4.12.1. Xpath定义
4.12.2. Xpath注入攻击原理
4.13. 逻辑漏洞 / 业务漏洞
4.13.1. 简介
4.13.2. 安装逻辑
4.13.3. 交易
4.13.4. 账户
4.13.5. 2FA
4.13.6. 验证码
4.13.7. Session
4.13.8. 越权
4.13.9. 随机数安全
4.13.10. 其他
4.13.11. 参考链接
4.14. 配置与策略安全
4.14.1. 认证策略
4.14.2. 权限配置
4.14.3. 供应链安全
4.15. 中间件
4.15.1. IIS
4.15.2. Apache
4.15.3. Nginx
4.16. Web Cache欺骗攻击
4.16.1. 简介
4.16.2. 漏洞成因
4.16.3. 漏洞利用
4.16.4. 漏洞存在的条件
4.16.5. 漏洞防御
4.16.6. Web Cache欺骗攻击实例
4.16.7. 参考链接
4.17. HTTP 请求走私
4.17.1. 简介
4.17.2. 成因
4.17.3. 分类
4.17.4. 攻击
4.17.5. 防御
4.17.6. 参考链接