Web安全简介
随着互联网的普及,Web安全越来越受到重视,最近在学习Web安全,所以写博客记录一下,第一篇是一些常见的相关内容。
钓鱼
主要是欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。
- 诱惑性的标题;
- 仿冒真实网站;
- 骗取用户的账号密码等;
网页篡改
- 直接改网页,尤其是政府的网页
浏览器搜索小技巧:intitle:hacked by 可以发现被黑的网站
标题中含有关键字的网页:intitle:keyword
正文中含有关键字的网页:intext:keyword
在某个域名和子域名下的网页:site:domain
intitle:hacked by 可以发现被黑的网站 - 暗链隐藏在网页中,一般是博彩类,色情类,网游等,它不能被正常用户点击,主要是针对搜索引擎的爬虫机器人,目的是提高网站在搜索引擎的排名。
WebShell
webshell是asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,可以将其看作是一种网络后门。
顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。