搜索引擎关键字:
Hacked by
搜索引擎语法
- Intitle:keyword 标题中含有关键词的网页
- Intext:keyword 正文中含有关键词的网页
- Site:domain 在某个域名和子域名下的网页
客户端漏洞
暗链
网页篡改,植入一些网站,用户看不到,但是可以提高被嵌入网站的搜索引擎排名Webshell
攻破网站后,留下后门的技术。
Web安全
客户端 分为: XSS、CSRF、点击劫持、URL跳转
服务器 分为:SQL注入、命令注入、文件操作类
XSS
全称: Cross Site Script
中文名称:跨站脚本
危害:盗取用户信息,钓鱼,制造蠕虫等。
概念:黑客通过“HTML”注入篡改网页,插入了恶意脚本,当用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。
XSS分类:存储型、反射型、DOM型
- 存储型
访问网站触发XSS,存储在数据库中,后端WEB应用程序输出 - 反射型
正常用户访问携带XSS脚本的URL,存储在URL中,后端WEB应用程序输出 - DOM型
正常用户访问携带XSS脚本的URL,存储在URL中,前端JavaScript输出CSRF
全称: Cross-site request forgery
中文名称:跨站请求伪造
危害:执行恶意操作(“被转账”、“被发垃圾评论”等)、制造蠕虫…….
概念:利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法的操作
点击劫持
隐蔽性高
骗取用户操作
UI-覆盖攻击
利用iframe或者其他标签的属性
url跳转
定义:借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而导致的安全问题
实现方式:
Header头跳转
JavaScript跳转
META跳转
服务端漏洞
- SQL注入
数据和代码未分离,即数据当做了代码来执行
可以获取数据库信息:如管理员后台用户名和密码。
脱库
获取服务器权限
植入Webshell,获取服务器后门
读取服务器敏感文件
万能密码
……
- 命令注入
与SQL注入类似,通过注释命令,拼接命令执行恶意命令