这个组织在每年都会公布一个web,就是网站漏洞的十大威胁安全报告,当然它是每三年进行公开一次,而平常它是不公开的。那这个漏洞报告中是包含了当年在整个互联网中暴露出最多的漏洞一个排行榜,相当于我给大家看一下2021年这个组织爆出来的这些漏洞,可以看到这是英文的,可能看不懂。没关系,下面我就给大家讲在网站中一个网站可能会存在哪些漏洞。我们简单看一下这是我列举出来的比如说像SQL注入、文件包含、文件上传、命令执行等等,这些如果你是一个完全的外行人,你看起来好像都是新的名词,完全不知道是怎么怎么回事,那你千万不要急,一步一个脚印,我们来分别探讨一下。但是从这些漏洞的类型,我们会清楚的发现,网站可能存在的漏洞是非常多的,那其他的东西它不好打,我们不论做什么事情都要剪软柿子去捏,所以网站是我们最好拿捏的东西。
我们来看一下,那本周是我从中挑选出三个比较容易基础,并且对我们渗透测试做内网非常重要的三个漏洞,分别是搜狗注入、命令执行、文件上传这三个漏洞。我先用简单的语言给大家概括一下。首先SQL注入,SQL注入是针对于数据库的漏洞,数据库里面保存了什么?大家想一下,在你注册用户,你的账户名,你的密码,包括你在百度搜索的时候搜索出的结果,它都是存储在数据库中的,那sql注入它就是能够破坏数据库。大家都知道有一个语言叫做删库跑路,删库指的就是把别人的搜qq、数据库给删掉了,那我们后面会放在明天的课程中来讲这个SQL注入。
第二个漏洞叫命令执行,命令执行就是字面意思,我们获取到目标用户就是目标机器受害者机器的一个执行命令的权限,我都能执行命令了,我还能打不了你吗?你想是吧?我可以给他关机,我可以把它整个的网站都给它删除,这是命令执行主动。我们看它的危害,你就知道它的影响还是非常大的。第三个叫做文件上传,这个更好理解,就像大家在使用网站的时候,经常会遇到一些上传操作操作,比如说上传头像,上传附件等等,这个时候有没有想过我不去上传一个头像,我去上传一个木马病毒,可不可以?如果他的后台工作人员就是写这些脚本的开发者,没有进行安全考虑的话,就有可能会造成这种漏洞,这是三个漏洞的简单概述。