网站漏洞扫描之代码服务学习
发布时间:2023-12-21 21:13:41 所属栏目:经验 来源:DaWei
导读: 学习代码设计要熟悉三种语言,总共分四部分去学习。第一,编程语言。1.前端语言html/js/dom/元素的使用主要是为了挖掘xss漏洞。2.后端语言的基本语法要知道,比如变量类型、常量、数组(pyth
|
学习代码设计要熟悉三种语言,总共分四部分去学习。第一,编程语言。1.前端语言html/js/dom/元素的使用主要是为了挖掘xss漏洞。2.后端语言的基本语法要知道,比如变量类型、常量、数组(python是列表、元组、字典)、对象、调用、引用等。MVC设计模式要清晰,因为大部分目标程序都是基于MVC写的,包括但不限于php、python、java。 第二,渗透技巧。一:工具渗透,如sqlmap,burpsuite等,成为渗透技巧的一个原因是,在寻找漏洞时,有助于更快地挖掘漏洞,如果对这些代码审计不太懂却又想对自己的网站或公司的平台进行全面的代码审计的话可以去网站安全公司看一看,国内像SINESAFE,鹰盾安全,绿盟,大树安全都是做代码审计的安全公司。 第三,辅助技术。1.协议,如HTTP传输模式、dict://file://等。程序构建你在审计时要学会程序构建,否则在静态审计时,不能进行动态调试,方便你更快更高效地挖掘漏洞。SQL句子和数据库特性主要涉及SQL注入和sql注入的payload结构。 第四,漏洞挖掘。1.了解漏洞类型的原理。2.知道危险函数参数使用不当造成的漏洞威胁,如指令执行、代码执行、assert、array_map、usort等。3.知导php函数的脆弱性。php审计技巧。php版本配置不当结合函数使用不当造成的漏洞威胁。 (编辑:文章分享网_茂名站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐