1.web及安全
web (World Wide Web)即全球广域网,也称为万维网,它是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统。Web安全,顾名思义便是由保障Web应用能够持续安全运行而衍生出的一个分支领域。Web应用指的是一个网站的前端页面到后端服务,可以理解为一个网站及其配套的相关服务,该领域中常见的漏洞有SQL注入漏洞,XSS漏洞,CSRF漏洞等等。
一般来说 Web 安全需要符合三点安全要素:
-
保密性:通过加密等方法确保数据的保密性
-
完整性:要求用户取得的资料是完整而不可被篡改的
-
可用性:保证网站服务的持续可访问性
2.常用术语
脚本(asp、php、jsp):编写网站的语言
html(css、js、html):超文本标记语言,解释给浏览器的静态编程语言
HTTP/HTTPS协议:通讯标准,明文或密文,规定好的通讯、交流方式
数据库:顾名思义就是存放数据的一个容器,Mysql , Oracle , MongoDB....
URL : Uniform Resource Location 统一资源定位符
MAC :Media Access Control,介质访问控制符,全球唯一性
CMS(B/S):网站内容管理系统,常见的比如Discuz、DedeCMS、Wordpress等,针对CMS漏洞进行渗透测试
MD5、SHA:类型加密算法
webshell、提权、后门:网站后门可称为webshell
……
3.攻击手段
3.1 SQL注入
原理
程序没有有效的转义过滤用户的输入,使得攻击者成功向服务器提交恶意的SQL查询代码,使得程序将攻击者的输入作为查询语句一部分执行
3.2 XSS
原理
攻击者通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行,从而达到攻击目的(获取用户信息,侵犯隐私)
特点
注入方式不是来源与URL,通过后端从数据库读取数据。不需要诱骗点击,只要求攻击者在提交表单的地方完成注入即可
3.3 DDos攻击
分布式拒绝服务,其原理就是利用大量的请求造成资源过载,导致服务不可用
分为网络层DDos,应用层DDos
3.4 HTTP劫持
HTTP劫持,当用户访问某个站点时会经过运营商网络,不法运营商和黑厂勾结能够截获请求返回内容,并且篡改内容,然后再返回给用户,从而实现劫持页面,轻则插入小广告,重则直接串改成钓鱼网站骗用户隐私