目录遍历攻击非常简单

全文摘要

讨论了Web应用程序中的攻击方式,如访问未经授权的文件,并介绍了一些资源来帮助测试和学习提高技能,还讨论了如何避免网站上的跨站脚本攻击,并提出了一些解决方法。

章节速览

00:00

介绍了一种针对Web应用程序的攻击方式——访问未经授权的文件,利用特殊字符如../来实现目的。攻击者可能会利用此方式读取其他文件系统中的文件,甚至是在Web根目录以外的文件。然后通过分析攻击原理,对攻击进行了一个简单的演示,包括使用Proxy转发请求并更改过滤器等操作。

03:48

对话中讨论了如何在实际生产环境中寻找敏感文件,例如 PHP 配置文件和 Web 服务的登录凭据。提供了一些资源,如 Portswigger Web 安全学院,以帮助测试人员进行进一步测试和学习提高技能。同时,还介绍了如何寻找和利用这些资源的方法。

08:17

讨论了如何避免网站上的跨站脚本攻击,提出了在中间脚本中插入脚本,以及避免直接修改URL地址等方法。同时,提到了如何检测和解决跨站脚本攻击,以及如何在结果中添加上一个ETC passwd文件。

相关资源

黑客书籍:

渗透测试:黑客实践简介:https://amzn.to/31GN7iX

黑客手册 3: https: //amzn.to/34XkIY2

黑客:利用的艺术: https: //amzn.to/2VchDyL

Web 应用程序黑客手册:https://amzn .to/30Fj21S

真实世界的漏洞搜寻:网络黑客现场指南: https: //amzn.to/2V9srOe

社会工程:人类黑客攻击的科学:https: //amzn.to/31HAmVx

黑客的 Linux 基础知识:https://amzn .to/34WvcXP

Python 速成课程,第二版:https://amzn.to/30gINu0

暴力 Python: https: //amzn.to/2QoGoJn

黑帽 Python: https: //amzn.to/2V9GpQk

© 版权声明
THE END
喜欢就支持一下吧
点赞0赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容