新书
速递
吴老的java版《selenium webdriver 实战宝典》和python版《selenium Webdriver 3.0 自动化测试框架实战指南》出版了,代码拿来就能用。
文 | 李文祥
一、Web安全漏洞概念及原理分析
1.6
文件包含漏洞
如下页面,点击file1、file2、file3,页面地址都会随之变化为
由此,page参数就是我们可以利用的地方,我们修改page参数为随意字段,如abc.php访问,则显示:
报错信息中,我们获取到文件的物理路径,可以利用该漏洞读取本地文件,如读取dvwa目录下的php.ini文件,将文件路径进行如下修改:
也就是page参数为"../../php.info",访问显示如下:
成功读取服务端文件信息,当然,攻击者肯定不满足读取本地文件,攻击者可以修改成可执行php代码进行攻击。
1.7
点击劫持(ClickJacking)
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。也就是通过覆盖不可见的框架误导受害者点击而造成的攻击行为。
隐蔽性高,骗取用户操作,也称UI-覆盖攻击,是利用iframe或者其他标签的属性,如flash也可以。
1.8
URL跳转漏洞与钓鱼
借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而导致的安全问题。
下期预告
SQL Map实例
安装喜马拉雅app,搜索“光荣之路”可以收听吴老和他的朋友们分享的35小时测试知识语音
领取专属 10元无门槛券
私享最新 技术干货