第二部分
第一部分
客户端攻击(Client-side-Exploit)值攻击者构造畸形数据发送给目标主机,用户在使用该含有漏洞的客户端应用程序处理这些数据时,发生程序内部处理流程的错误,执行了内嵌与数据中的恶意代码,从而导致了渗透入侵。常见于浏览器、Office为代表的流行应用软件。
MS08-067攻击原理和MSF利用过程
OWASP Top 10 - 2017
- Injection(注入)
- Broken Authentication(认证管理缺陷)
- Sensitive Data Exposure(敏感数据暴露)
- XML External Entities (XXE)
- Broken Access Control(失效的访问控制)
- Security Misconfiguration(安全配置错误)
- Cross-Site Scripting (XSS)
- Insecure Deserialization(不安全的反序列化)
- Using Components with Known Vulnerabilities(使用具有已知漏洞的组件)
- Insufficient Logging&Monitoring(记录和监控不足)
确定开放端口后,对其上所运行服务的详细信息做深入挖掘,成为服务查点