学习笔记 主要内容为信息安全/web安全/渗透测试
域名
域名是一串用点分隔的名字组成的Internet上某台计算机或计算机组的名称,在数据传输时对计算机进行定位。
二级域名分类
DNS域名系统
域名系统(Domain Name System)。它是一个域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
当我们访问域名时,系统会首先自动从Hosts文件中寻找对应的IP地址,一旦找到,系统会立即打开对应网页,如果没有找到,则系统会再将网址提交DNS域名解析服务器进行IP地址的解析。
CDN:Content Delivery Network,即内容分发网络。是构建在数据网络上的一种分布式的内容分发网。可以提高系统的响应速度,也可以一定程度的拦截/f防御攻击
常见域名攻击:DNS ddos 域名劫持 DNS劫持 缓存投毒
WEB基础
WEB 源码类对应漏洞:SQL 注入,上传,XSS,代码执行,变量覆盖,逻辑漏洞,反序列化等
WEB 中间件对应漏洞:未授权访问,变量覆盖
WEB 数据库对应漏洞:弱口令,权限提升
WEB 系统层对应漏洞:提权,远程代码执行
渗透测试
渗透测试,又称“白帽黑客”测试,是出于增强安全性的目的,利用与恶意攻击者相同的技术、策略和手段,对给定组织的安全性进行调查、评估和测试
渗透测试者是训练有素、技能丰富,能够了解系统弱点并能予以定位的安全专家。通过采取一套综合技术、行政和物理手段的程序抵御系统中的漏洞:
技术手段:虚拟专用网(VPN)、加密协议、入侵检测系统、入侵防御系统、访问控制列表、生物识别技术、智能卡技术以及其他提高安全性的装置;
行政手段包括应用政策、规章加强规则;
物理手段包括电缆锁、设备锁、报警系统等。
脚本语言
脚本语言又被称为扩建的语言,或者动态语言,是一种编程语言,用来控制软件应用程序。
asp php aspx jsp javaweb pl py cgi 等
脚本(asp,php,jsp)(动态脚本语言)
html(scc,js,html)(静态脚本语言)
静态脚本不会与数据库进行交互,是直接在本地浏览器上运行,且速度很快,但是可以直接查看到源码;
动态脚本是会与数据库发生交互的,是运行在web服务器上,显示的是执行结果(在浏览器中也可以运行,源码可以看到)
参考资料:
公众号 0x00实验室,感兴趣的小伙伴建议去看推文
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
