Web安全相关漏洞
- Web源码类:SQL注入、上传、xss、代码执行、变量覆盖、逻辑漏洞、反序列化…
- Web中间件类:中间件自身的漏洞问题
- Web数据库类:使用的数据库自身的漏洞问题
- Web系统层:服务器系统Linux、Windows…等系统漏洞
- 第三方应用、app和pc结合类应用
信息收集思路
工具&网站
-
御剑 - 后台扫描工具(目录结构)
-
漏了个大洞 - APK提取反编译
-
Layer子域名挖掘机 - 域名查询工具
-
墨者学院_专注于网络安全人才培养 (mozhe.cn) - 在线靶场
-
Vulhub - Docker-Compose file for vulnerability environment - 使用Docker的漏洞环境集合,用于复现、研究漏洞
-
首页 - 网络空间测绘,网络安全,漏洞分析,动态测绘,钟馗之眼,时空测绘,赛博测绘 - ZoomEye(“钟馗之眼”)网络空间搜索引擎
相关概念
- CMS(Content Management System):开源的网站内容管理系统,为建站提供便利
- WAF(Web Application Firewall):Web应用级防火墙