2. 程式人生 > >【小結】常見漏洞檢測方法

【小結】常見漏洞檢測方法

阿新 發佈:2018-11-27

1、SQL注入

bp抓取請求資料包,儲存至txt文件中,如1.txt,藉助sqlmap進行測試,sqlmap命令:

sqlmap.py -r 1.txt --risk 3 --current-db --batch

2、XSS漏洞

bp抓取請求資料包,檢測方法如下:

一種藉助bp的scan模組:

另一種手工測試,如請求中引數為name,可以簡單構造特定資料,如name=xss,在響應包中檢視xss所在位置,從而決定選擇何種payload,

常見payload:

"><svg+onload=alert(1)>

" onmouseover=alert(1) "

<img src=1 onerror=alert(1)>

有些需要根據具體情況去閉合,從而觸發xss。

3、csrf漏洞

跨站請求偽造,通俗說就是讓使用者自己打自己,即利用使用者的cookie來達到攻擊者的攻擊目的,如修改密碼等;

測試方法,藉助bp:

之後瀏覽器訪問,點選按鈕執行即可。

待續。

 

相關推薦

小結常見漏洞檢測方法

1、SQL注入 bp抓取請求資料包,儲存至txt文件中,如1.txt,藉助sqlmap進行測試,sqlmap命令: sqlmap.py -r 1.txt --risk 3 --current-db --batch 2、XSS漏洞 bp抓取請求資料包,檢測方法如下: 一種藉助bp的scan模

小結常見錯誤總結

暴力 使用 否則 合並 修改 bsp 序列 遞歸 -s 1.斜率優化dp中,若原數據太大,則不要將斜率交叉相乘(可能爆long long),而應使用long double比較slope 2.不帶修改的前綴主席樹:o=++gt; 帶修改的BIT套主席樹:if(!o)o=++g

opencv特徵點檢測方法--GFTT,SIFT,FAST,SURF

一. 特徵點檢測方法總結 二.關於特徵點分析對比的相關論文 1.      有關特徵點:Shi-Tmoasi,SIFT,SURF 方法:基於opencv,通過RGB分解,比較特徵點的個數和魯棒性 2.      有關特徵點:FAST 方法:主要是

Git常見錯誤提示解決辦法和常用方法

log image 解決 遠程 添加 logs 遠程倉庫 錯誤 ima 1.添加遠程倉庫時提示fatal: remote origin already exists. 先刪除遠程倉庫,再添加遠程倉庫 最後再push 2.修改本地文件(比如README.md)後,更新到g

轉載常見WEB漏洞

轉 作者:jobbible 來源:CSDN 原文:https://blog.csdn.net/moshenglv/article/details/53439579 Web應用漏洞原理 Web應用攻擊是攻擊者通過瀏覽器或攻擊工具,在URL或者其它輸入區域(如表單等),向Web伺服器傳送

資料結構常見的排序方法的實現以及效能對比

前言:   排序演算法在筆試和麵試的時候經常出現,有時候面試官可能不止問我們排序的寫法,還會問相關演算法的一些效能的比較。平時學習時,由於排序演算法較多,如果不做一些歸納總結的話,很容易混為一談,並且沒有對每個排序有很明確的定位。就會導致在面試的時候啞口。 一、插入排序

小結java使用Websocket獲取HttpSession出現的問題

param conf 問題 point nbsp 請求 socket resp 繼承 websocket的寫法就不多說了,主要記一記其中出現的問題 1.獲取不到httpSession 解決辦法:先重寫握手方法,將httpsession放入ServerEndpointConf

Java加載驅動方法

set jdbc mysql manage setprop serve ros body java 1.Class.forName("com.microsoft.sqlserver.jdbc.SQLServerDriver"); 2. DriverManager.re

dB的計算方法

方便 濾波 order 意義 級聯 儀表 宋體 信噪比 car 原文地址:https://www.espressif.com/zh-hans/media/blog/%E5%A2%9E%E7%9B%8A%E6%AF%94%E5%80%BC-db-%E4%BB%A5%E5%8F

vim ctag使用方法

記事本 menu owin 是什麽 的人 rtt script 例子 pac 我看到的出處沒有貼來源,我轉於http://www.cnblogs.com/feisky/archive/2012/02/07/2341932.html windows下很多人都使用source

jQuery 的 ajax 方法,返回結果 readyState=4 並且 status=200 時,還進 error 方法

err 前端 log 報錯 但是 tail 格式 success ajax 今天在使用jquery.ajax方法去調用後臺方法時,ajax中得參數data類型是"JSON",後臺DEBUG調試,運行正常,返回正常的結果集,但是前端一直都進到ajax的error方法,百思不得

AndroidAS警告解決方法:String literal in setText can not be translated. Use Android resources instead.

轉載請註明出處,原文連結:https://blog.csdn.net/u013642500/article/details/80166941 【錯誤】 String literal in setText can not be translated. Use Android reso

爬蟲的一般方法、非同步、併發與框架scrapy的效率比較 Python爬蟲的N種姿勢

該文非原創文字,文字轉載至  jclian91  連結:https://www.cnblogs.com/jclian91/p/9799697.html Python爬蟲的N種姿勢

IPLinux中檢測IP地址衝突

在Windows系統中,如果本地網路IP地址出現衝突,會出現圖示提示。 在Linux系統中,並沒有提供相關的功能,如果本地網路採用靜態IP地址配置,出現比較奇怪的網路連線問題,如ssh連線復位,可以考慮檢測一下是否是出現了IP地址衝突問題。 arping命令提供了檢測地址衝突的功能。 arping命令

ABPExtensions字尾擴充套件方法

1.Extensions介紹 擴充套件方法使你能夠向現有型別“新增”方法,而無需建立新的派生型別、重新編譯或以其他方式修改原始型別。 擴充套件方法是一種特殊的靜態方法,但可以像擴充套件型別上的例項方法一樣進行呼叫。 對於用 C#、F# 和 Visual Basic 編寫的客戶端程式碼,呼叫擴充套件方法與呼叫

JavaScript_02面向物件程式設計(原型)自己實現each方法可遍歷多維陣列

<head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>New Web Project</title>

STRING使用EQUALS方法和==分別比較的是什麼

轉自: https://www.cnblogs.com/baotong-9396/p/7182906.html   String使用的equals方法和==的區別 equals方法和==的區別 首先大家知道,String既可以作為一個物件來使用,又可以作為一個基本型別來使用。這裡指的

python詳解isinstance方法

isinstance() 函式來判斷一個物件是否是一個已知的型別,類似 type()。 isinstance() 與 type() 區別: type() 不會認為子類是一種父類型別,不考慮繼承關係。 isinstance() 會認為子類是一種父類型別,考慮繼承

freemarkerFTL常見語法大全

FreeMarker的插值有如下兩種型別:1,通用插值${expr};2,數字格式化插值:#{expr}或#{expr;format} ${book.name?if_exists } //用於判斷如果存在,就輸出這個值 ${book.name?default(‘xxx’)}//預設值xxx

python接口自動化-requests庫優化重構requests方法

函數 pre 說明 數據 div src native 數值 我們 一、重構post請求方法   上一張講了如何使用requests庫發送post請求,但是有時候,我們寫腳本,不可能這麽簡單,代碼完全不可復用,重復工作,那我們是不是可以想象,把我們的get,post請求,分