web安全培训笔记

时间：2014-05-25 02:00:10 阅读：272 评论：0 收藏：0 [点我收藏+]

1.漏洞获取方法
1）扫描器扫描 2）乌云 3）线上服务漏洞
例子：
线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件

2.入侵原因
1）好玩 2）拖库，目的，获得各种账号密码。同样账号在其他地方的密码有可能一致。
3）删文章，挂黑链，不正当竞争攻击

3.常见漏洞
1）sql注入 2）xss

4.一些获得漏洞方法
1）扫描器扫描 2）乌云查看
3）制造页面报错，例如参数加引号，页面报错会展示一些敏感信息，逐步更改参数查看信息变化
4）支付安全，不花钱买入，1分钱买入10份等
通过修改本地页面提交的数据包参数，导致服务器端数据update不对，例如扣钱为负数，
扣钱比实际值少，数量比实际值多等