4. 常见漏洞攻防

内容索引:

• 4.1. SQL注入
  • 4.1.1. 注入分类
  • 4.1.2. 注入检测
  • 4.1.3. 权限提升
  • 4.1.4. 数据库检测
  • 4.1.5. 绕过技巧
  • 4.1.6. SQL注入小技巧
  • 4.1.7. CheatSheet
  • 4.1.8. 预编译
  • 4.1.9. 参考文章
• 4.2. XSS
  • 4.2.1. 分类
  • 4.2.2. 危害
  • 4.2.3. 同源策略
  • 4.2.4. CSP
  • 4.2.5. XSS数据源
  • 4.2.6. Sink
  • 4.2.7. XSS保护
  • 4.2.8. WAF Bypass
  • 4.2.9. 技巧
  • 4.2.10. Payload
  • 4.2.11. 持久化
  • 4.2.12. 参考链接
• 4.3. CSRF
  • 4.3.1. 简介
  • 4.3.2. 分类
  • 4.3.3. 防御
  • 4.3.4. 参考链接
• 4.4. SSRF
  • 4.4.1. 简介
  • 4.4.2. 利用方式
  • 4.4.3. 相关危险函数
  • . 过滤绕过
  • 4.4.5. 可能的利用点
  • 4.4.6. 防御方式
  • 4.4.7. 参考链接
• 4.5. 命令注入
  • 4.5.1. 简介
  • 4.5.2. 常见危险函数
  • 4.5.3. 常见注入方式
  • 4.5.4. 无回显技巧
  • 4.5.5. 常见绕过方式
  • 4.5.6. 常用符号
  • 4.5.7. 防御
• 4.6. 目录穿越
  • 4.6.1. 简介
  • 4.6.2. 攻击载荷
  • 4.6.3. 过滤绕过
  • 4.6.4. 防御
  • 4.6.5. 参考链接
• 4.7. 文件读取
• 4.8. 文件上传
  • 4.8.1. 文件类型检测绕过
  • 4.8.2. 攻击技巧
  • 4.8.3. 防护技巧
  • 4.8.4. 参考链接
• 4.9. 文件包含
  • 4.9.1. 基础
  • 4.9.2. 触发Sink
  • 4.9.3. 绕过技巧
  • 4.9.4. 参考链接
• 4.10. XXE
  • 4.10.1. XML基础
  • 4.10.2. 基本语法
  • 4.10.3. XXE
  • 4.10.4. 攻击方式
  • 4.10.5. 参考链接
• 4.11. 模版注入
  • 4.11.1. 简介
  • 4.11.2. 测试方法
  • 4.11.3. 测试用例
  • 4.11.4. 目标
  • 4.11.5. 相关属性
  • 4.11.6. 常见Payload
  • 4.11.7. 绕过技巧
  • 4.11.8. 参考链接
• 4.12. Xpath注入
  • 4.12.1. Xpath定义
  • 4.12.2. Xpath注入攻击原理
• 4.13. 逻辑漏洞 / 业务漏洞
  • 4.13.1. 简介
  • 4.13.2. 安装逻辑
  • 4.13.3. 交易
  • 4.13.4. 账户
  • 4.13.5. 2FA
  • 4.13.6. 验证码
  • 4.13.7. Session
  • 4.13.8. 越权
  • 4.13.9. 随机数安全
  • 4.13.10. 其他
  • 4.13.11. 参考链接
• 4.14. 配置安全
• 4.15. 中间件
  • 4.15.1. IIS
  • 4.15.2. Apache
  • 4.15.3. Nginx
• 4.16. Web Cache欺骗攻击
  • 4.16.1. 简介
  • 4.16.2. 漏洞成因
  • 4.16.3. 漏洞利用
  • 4.16.4. 漏洞存在的条件
  • 4.16.5. 漏洞防御
  • 4.16.6. Web Cache欺骗攻击实例
  • 4.16.7. 参考链接
• 4.17. HTTP 请求走私
  • 4.17.1. 简介
  • 4.17.2. 成因
  • 4.17.3. 分类
  • 4.17.4. 攻击
  • 4.17.5. 防御
  • 4.17.6. 参考链接