DDOS,也就是处于网络层的分布式拒绝攻击
cc,处于应用层的分布式拒绝攻击。
DDOS攻击原理:在基于tcp/ip的三次握手中,攻击者利用伪造的ip地址连续不断地向服务器发送第一次连接,但是因为是伪造的ip,所以并不会回复服务器的握手请求,因为服务器是有上限的,所以这种胡乱占用资源的行为造成了其余正常资源的无法访问。
cc攻击原理:绿盟当年创建了防止DDOS攻击的工具,但是仅仅只是防止住了网络层的,并没有对应用层进行防治。
这种攻击原理也就是对网络资源消耗较大的行为进行连续多次重复的访问,造成网络资源的消耗。
slowloris攻击:
通常每发起的http请求报文中,会有一个/r/n,也就是类似于CRLF攻击,在http头和body之中的分隔符。攻击者伪造http请求,在头和身体之间进行两次/r/n,让服务器认为http报文还没发完,就一直消耗着这个资源。
针对此类拒绝攻击的本质就是对于有限资源的无限滥用。
还有几种拒绝攻击,但是这里就不再过多阐述了。
php的安全问题
文件包含问题
本地文件包含(LFI)与远程文件包含(RFI):合理利用文件截断功能(比如:利用服务器的某些特性和脚本语言的特性还有系统的特性)
服务器特性:对于某些特殊字符的编译
脚本语言特性:属于c语言编译过来的,可以利用/00截断
系统特性:对于超长字符的处理
了解一些基本文件的配置位置,目录遍历漏洞和文件包含漏洞差不了多远。
变量覆盖漏洞