?????????Web????????????WEB????????
???????????????? ???????[ 2010/9/8 10:24:27 ] ????????
????1. web??e?????????
????????????????????????????????????????危??????????????????????????????????璞�???????????煤?????????????????????????????????
????web ????????????????????web????????????????????????????????????web?????????????????????????????????械???????????????????????web??????????????????????????????????????????????????????????web???????????????????????????? 70%??????????????????web????????
????????????????????????????????web?????????????????????????????????????????危??????????????????危?????睢�??????????????????????????web?????????????????????????卸???????????????????????????????web?????????????????????????????????????????芯??????????????web???????????????owasp??wasc??????????????
????2. web??????
??????????????web????????????????????????????????????????斜????????纬????????????写?????xss??sql injection?????????????????????????web???????????????????????? ??????web???????????霉??????????围???????????web?????????????????web????????????????????????????????????????????泄???????????????
????xss??ldap injection??sql injection?????injection???????????????????????????些??????????????????写?????????些????????些???????????些??????小?????????????????????
??????????????????????????????????????????????????????????????????????????????????????霉???????????????????????????????????????????????????????小??????????????????????????????????????????????????????????owasp??????????????????
????泄????????????????写?????????????????????????泄?????????????????谐????????????写?????????????????????????????????????????????web????????????????????????????????????????????效??????????????????????????械???????????????request???????????????浠�?????????????????????????????????
????3. ??????
????????谐????????????????????????????????????????谐????????????????????????????????????????web??e????????????????????位??????????谐????web??e?????????????????????些?????????????????web??????????????????些???????椋�??????????????????????web??????????web??e?????????谐????????????????????????????????????????????????web??e?????????????????
?????????web??e?????谐???????????胁??????????????????????ibm??app scan??hp??web inspect????????????????????????????????????????web?????????锌???????????????????????????????????????????胁?????????http????????http????????????????????????????????????些?????????????????????????胁????????sql injection??xss????????????????????胁????????????围???????????????????????????????????????????????????????web????????斜????????????? webscarab??paros??charles??些???????????貌?????????web ui?????????????????????????????????????????????????????些?????????????web?????????????????????
??????web???????????????????路?????????????????????蟹????????????????????????????????????????fortify???????????????????械?????????????些小??????????????????????????????????web??????????????????????????????????????????
Web????????????
1. ??????????????????web???????IE???server???DB?????y???????????胁??????????????script??????????????;app server????????????????????db server??????????些????????????????????慰????script????????些case???????????????????????????????????????????????script??????????????form?????????????????????????
????2. ???????????? ???web server????sql??????????????sql????????????????????????????????sql?????????????delete all??drop database??????????????????????????????!??????谢???????internet??????????????????????校??卸???????????????????web????????????????????
????3. ??????????????????????伞?
????WEB???????????BUG???
????1??SQL INJETION
????2??????????????????????
????3??COOKIES?????
????4?????????????
??????SQL INJETION????????
????????
???????????????????????news.asp???貌?????????????????????
????http://www.xxx.com/news.asp?id=1????????????
????????????
????rs.open "select * from news where id=" &
????cstr(request("id"))??conn??1??1
???????????胁????????????URL??????????????????????
????select * from news where id=1
????????SQL????????????????????????news???id?1???????????
??????????SQL SERVER??select???????????????械???????????URL???
????http://www.xxx.com/news.asp?id=1and 1=(select count(*) from admin
????where left(name??1)=a)
????SQL???????
????select * news where id=1 and 1=(select count(*)
????from admin where left(name??1)=a)
?????????admin?????????????????name??????????????a????news????id?1???????news????id?1?????????????????????????1&P????P??妫�??????妫�????????????????妾�?????????????????????id?????2????????????????????????????煤??????????????????
??????
???路???
??????????????????
2023/3/23 14:23:39???写?貌??????????
2023/3/22 16:17:39????????????????????些??
2022/6/14 16:14:27??????????????????????????
2021/10/18 15:37:44???????????????
2021/9/17 15:19:29???路???????路
2021/9/14 15:42:25?????????????
2021/5/28 17:25:47??????APP??????????
2021/5/8 17:01:11
sales@spasvo.com
