网络安全笔记02之web基础

最新推荐文章于 2024-05-31 11:03:01 发布
最新推荐文章于 2024-05-31 11:03:01 发布
阅读量3.6k 收藏 1
点赞数
文章标签: web安全 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzcera/article/details/122944715
版权

关于web源码

web源码是代码审计漏洞的重要信息突破口,主要知识点包括目录、脚本、应用等。

web目录结构:
分为后台目录、模板目录、数据库目录、数据库配置文件。

脚本类型:
主要包括ASP、PHP、ASPX、JSP、JAVAWEB、Python。

应用分类:
门户对应综合类漏洞,电商对应业务逻辑漏洞,论坛对应XSS逻辑漏洞、博客漏洞较少、第三方主要根据功能决定。

补充内容包括框架和非框架、CMS识别、开源或内部的漏洞审计和测试。

web源码中的关键文件

后台路径,数据库配置文件,备份文件
后台:通常指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。
在安全测试中,后门开源更方便的连接到主机,在获得到主机权限时,后门开源充当命令控制台的角色。

我们需要注意的是后门是否给予权限,是否给予操作目录或文件权限,是否给予其他用户权限。

参考资料:
公众号 0x00实验室,感兴趣建议去看推文

我不是zzy1231A
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
杨秀璋的专栏
07-31 10万+
最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常基础的文章,大神请飘过,谢谢各位看官!
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 16万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
网络安全基础知识笔记-1
m0_67362399的博客
02-27 5992
看小码哥教育李明杰版块和华为官网的精品课中所获得的一些知识。 1. NAT技术 (1)NAT技术就是将私有的ip地址转换为公有ip地址,用于访问公网。 (2)比如下图所示,内网用户10.1.1.1要访问外网123.3.2.3,就会先经过防火墙技术转换成本区域(如本学校)的公网IP123.3.2.1之后,再去访问外网。外网返回的流程也是一样的,先发给防火墙,防火墙做进一步的解析,把数据发给内网用户。 (3)当然以上这种转换方式,如果内网又1000个用户,那么就需要1000各公网IP,这种是不现实的
网络安全学习笔记01之网安基础
dzcera的博客
02-15 4192
学习笔记 主要内容为信息安全/web安全/渗透测试 域名 域名是一串用点分隔的名字组成的Internet上某台计算机或计算机组的名称,在数据传输时对计算机进行定位。 二级域名分类 DNS域名系统 域名系统(Domain Name System)。它是一个域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。 当我们访问域名时,系统会首先自动从Hosts文件中寻找对应的IP地址,一旦找到,系统会
网络安全基础知识笔记
qq_40213824的博客
01-18 5730
计算机网络通信面临两大威胁,即被动攻击和主动攻击。 被动攻击是指攻击者从网络上窃取他人的通信内容。通常把这类攻击称为解惑。攻击者只是观察和分析某一个协议数据单元 PDU,这些数据对分析者不易理解,但是可以研究协议的地址和身份,数据长度和传输的频度。从而交接交换的数据的某种特性,被动攻击又叫流量分析。通过流量分析可以发现目的地址或源地址等。 主动攻击有如下几种方式: (1)篡改:攻击者故意篡改网络上的传输报文。也称为更改报文流。 (2)恶意程序:举例几种恶意程序: 计算机病毒:一种会传染其他程序
网络安全笔记(一)网络安全设备
m0_37638874的博客
07-14 3565
缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变。,通过对端点进行持续检测,同时通过应用程序对操作系统调用等异常行为分析,检测和防护未知威胁,最终达到杀毒软件无法解决未知威胁的目的。根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通,IPS仅对已知的威胁进行防御。,通过对网络侧流量的持续检测和分析,帮助企业增强威胁响应能力,提高网络安全的可见性和威胁免疫力。...............
web安全学习笔记--基础入门
m0_64348326的博客
04-21 5516
一、名词 1.DNS(域名系统):将域名和IP地址相互映射的一个分布式数据库,便于用户访问;UDP/TCP端口为53,利用cmd中ping命令可以查看域名所对应的ip号 2.CDN(内容分发网络):将网络的流量尽可能均匀分配到几个能完成相同任务的服务器或网络节点上,由此来避免部分网络节点过载 二、网页基本架构 1.常见的脚本语言:php、jsp、asp、aspx、javaweb、python、cgi等 2.操作系统:windows、linux 3.中间件:nginx、IIS、Tomcat、.
网络安全笔记
☜lgl☞
01-15 3440
网络安全笔记 一、基础知识 01、计算机网络:是利用通信线路将不同地理位置、具有独立功能的计算机和通信设备连接在一起,实现资源共享和信息传递等目的的计算机系统。 02、常见计算机网络: PAN:Personal Area Network,个域网 LAN:Local Area Network,局域网 MAN:Metropolitan Area Network,城域网 WAN:Wide Area Network,广域网 03、信息系统:是能进行信息的采集、传输、存储、加工、使用和维护的计算机应用系统,如学生
【学习笔记网络安全基础知识总结
HERODING23的博客
03-06 7413
网络安全基础知识总结前言一、网络安全概述1.1 引言1.2 密码学的发展1.3 密码学基础1.4 对称密码1.4.1 数据加密标准DES二、数论知识2.1 数论基础2.2 有限域2.2.1 群2.2.2 环2.2.3 域2.3 数论入门2.3.1 素数2.3.2 费马定理2.3.3 欧拉定理2.3.4 中国剩余定理三、网络安全进阶3.1 多重加密3.1.1 双重DES3.1.2 三重DES3.1.3 AES3.2 分组密码的工作模式3.2.1 电子密码本模式(ECB)3.2.2 密文分组链接模式(CBC)3
蜗牛学苑网络安全随堂笔记,打卡官网获得的
07-13
蜗牛学苑网络安全随堂笔记i,打卡官网获得的
主要记录网络安全学习笔记,包含WEB基础、提权、APP渗透、内网横向移动、工具学习等.zip
04-23
主要记录网络安全学习笔记,包含WEB基础、提权、APP渗透、内网横向移动、工具学习等.zip
Web安全学习笔记 2021 中文PDF最新版
04-13
希望这份笔记能够为正在入门的网络安全爱好者提供一定的帮助。 笔记内容总体分为四个部分。第一部分围绕一些基础知识和技巧进行了一定的说明,主要Web技术的发展与演化、安全领域的基本常识、计算机网络的基础知识...
个人的网络安全学习笔记
06-03
包括渗透测试流程,OWASPTOP10漏洞的详细介绍,各种安全工具的原理
网络安全渗透测试ARP欺骗精简笔记
05-23
适用于渗透测试ARP欺骗小白,简单易懂,精简学习笔记。 详细讲述了ARP如何窃取别人图片,如何窃取别人密码的详细知识点。
信息安全法规和标准
m0_62207482的博客
05-28 967
自行建设韵味的政府网站不放在境外;39、据《计算机场地安全要求(GB/T9361-2011)》,计算机机房的安全等级分为 A:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成严重损害的对计算机机房的安全有严格的要求,有完善的计算机器机房安全措施 B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害的计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施 C级: 不属于A、B级的情况,对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
网络安全的神秘世界】在win11搭建pikachu靶场
最新发布
weixin_54750312的博客
05-31 596
这个错误发生在mysql 5.7 版本及以上版本会出现的问题,在mysql5.7版本默认的sql配置是:sql_mode=“ONLY_FULL_GROUP_BY”,这个配置严格执行了"SQL92标准",很多从5.6升级到5.7时,为了语法兼容,大部分都会选择调整sql_mode,使其保持跟5.6一致,为了尽量兼容程序。访问http://pikachu/install.php,这是pikachu自带的初始化数据库的php文件。ok,重新访问首页(index.php),进行测试,成功解决。点击“安装/初始化”
web安全渗透测试工具篇(二):sqlmap常用命令和nmap常用命令
HACKONE的博客
05-26 190
这些选项可以用来创建用户自定义函数。--udf-inject 注入用户自定义函数--shared-lib=SHLIB 共享库的本地路径。
网络安全的神秘世界】MySQL
weixin_54750312的博客
05-31 199
数据库(Database)是按照数据结构来组织、存储和管理数据的仓库。
千锋网络安全笔记pdf
06-26
千锋网络安全笔记是千锋教育机构的一本网络安全入门读物,该笔记涵盖了许多网络安全基础知识,如网络攻击、网络防御、密码学、漏洞利用、Web安全等。同时,笔记也提供了一些实践操作,方便读者进行一些实际的网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值