1. 服务器是如何被入侵的
渗透的必要条件是:攻击机通过服务器提供的端口服务和服务器进行正常的通信。过去的黑客攻击方式大多数都是针对目标进行的,现在已转移到Web之上。
构成Web的四个要素:数据库、编程语言、Web容器、Web应用程序的设计者
攻击者直接对目标下手一般有三种手段:
- C段渗透:通过ARP等手段对同一网段内的一台主机进行渗透
- 社会工程学:高级手段
- Services:主要手段
2. 如何更好的学习web安全
根据应用场景要学精一门编程语言,然后学其他的,渗透测试要求读得懂即可,能写最好。
- C/C++(偏底层):Windows开发、C/S架构、缓冲区溢出、底层协议
- 如:NC、LCX、DNSSniffer、Hydra、溢出程序、远程控制等
- Java(跨平台):C/S架构、B/S架构
- 如:Burp Suite、reDuh、Paros proxy、WebScarab、Owasp Zap等
- C#(与Java相似,但不跨平台):应用层开发、C/S架构、B/S架构、知识.NET Framework
- 如:Pangolin、Jsky、微软官网等
- PHP(必会):跨平台的脚本语言,能力仅限于Web、速度较慢、不支持多线程。
- Python(最受喜爱):跨平台的脚本语言,Shell、Web开发(相较于C/C++速度慢)
- 如:SQLMap、W3af、Python、Backtrack等
- HTML(必会):前端语言之一
- JavaScript(必会):前端语言之一
- 如:XSS漏洞
- 数据库:Oracle、MySQL、SQL Server、DB2