Web/网络攻防 定级标准(初稿)
入门级
对于入门级 Web 选手,并没有明确的要求。一般来讲,只要对 Web 有一定的理解,即可称为入门级。
初级
对于初级 Web 选手,应当掌握所有 Web 基本知识,相对应级别的赛题的考点是非常常见的,选手们对于此类赛题可以直接进行或思考后给出解题步骤,并且在较短的时间内得到正确答案。
初级 Web 应当掌握的知识如下:
- 初级 SQL 注入
- SQL数据库基础
- 数据库结构基础
- 常用语法
- 常用参数
- “万能密码”
- 数字型注入
- 字符型注入
- 布尔盲注
- 时间盲注
- 报错注入
- 堆叠注入
- DNSLOG 注入
- 基本绕过方式
- 禁止引号
- 字符串黑名单
- 过滤空格
- 禁止 select
- SQL数据库基础
- 初级 XSS 跨站脚本攻击
- XSS 基本知识
- 反射型 XSS
- 持久型 XSS
- DOM XSS
- ————————————施工中——————————
- XSS 基本知识
- 初级 CSRF 跨站请求伪造
- 初级 SSRF 服务端请求伪造
- 初级 PHP 代码审计
- PHP 基本语法
- 文件包含
- 认识常见文件包含函数
- 本地文件包含
- %00 截断
- 路径长度截断
- 点号截断
- 文件上传
- webshell及常见变种
- 基本绕过方式
- 前端检查扩展名
Content-Type检测文件类型- 服务端添加后缀
- 服务端扩展名检测
- Apache 后缀解析
- IIS 后缀解析
- PHP CGI 路径解析
- 其它基本方式
- 序列化与反序列化
- 可以对对象进行序列化或反序列化
- 常用魔术方法
- 基本掌握利用方法
- 初级变量覆盖
- 初级命令执行
- 熟悉常见可以执行代码的函数
preg_replace()代码执行(CVE-2016-5734)preg_match代码执行
- 常见抽象特性
- 变量比较
- 数字与字符串
- 魔法 Hash
- 十六进制自动转换
- 变量比较
- 寻找源代码备份
- Git 源码泄露
- .DS_Store 文件泄露
- 同目录备份文件