<>01 SQL注入漏洞原理与利用方法
<>1.1 Web应用架构分析

1998 年 至今 20多年 了

爆出 sql 注入 导致 大量数据泄露

发现问题 —> 规避 sql注入 带来的 风险
研究 web框架 能 使我们 更熟悉 框架审计 中 注入的 原理

B/S 架构 开始 的时候 数据库 和网站 在同一台服务器 上

webapp 网站 放在 容器里
容器和数据库 软件 安装在 操作系统里
逻辑对 数据库的操作 来实现 网站功能

之后 互联网技术 发展
大量数据 大量请求 需要 web应用来处理

集群效果

中间件 容器

<>03 XSS漏洞原理与利用

<>第一章:XSS基础
<>1.1 XSS介绍与原理~1

打cookie xss + csrf getshell

用来攻击 使用浏览器 打开这个 页面的 用户 获取cookie 正常用户/管理员 权限

反射型 - 非存储型 通常 xss 代码 Payload (js) 通过 get 某个参数 传入 后端 没有经过 存储 直接反射回 用户页面 (html)上

存储型 payload 存 在某一介质 (数据库、缓存、文件) 用户 查看这个页面时 展示 页面 取出数据 时 执行

跟反射型类似 但接受者 不再是 后端程序 而是 js 拿到参数 直接 在页面 显示

html 实体编码 大多数 管用 白名单 发表文章 富文本 过滤掉 js代码 或者 涉及非法的属性 只div a p b 标签
排除onError、onLoad 事件属性 只 src 黑名单 可能会绕过 xss 业务场景 对症 反射 get 输入 script代码块 输出

xss 流程 payload 构造 验证 修复 xss 高阶 新用法 xss持久化 xss系列

技术
©2019-2020 Toolsou All rights reserved,
C语言——qsort函数CSS实现溢出显示省略号网络层协议——ICMP协议C语言小游戏-俄罗斯方块Qt入门教程【基础控件篇】QCalendarWidget日历控件用python来控制wifi连接vue中input框只能输入数字Python内置函数C语言数据结构-顺序表删除重复V2.0.0abaqus质量缩放系数取值_ABAQUS的质量缩放