【web安全深度剖析】1.1 Web安全简介

已于 2022-03-08 16:08:57 修改
阅读量7.2k 收藏 13
点赞数
分类专栏: # 安全书籍 文章标签: 网络 web安全 安全
于 2022-03-08 14:16:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40785722/article/details/123352556
版权

【web安全深度剖析】

1. 服务器是如何被入侵的

渗透的必要条件是:攻击机通过服务器提供的端口服务和服务器进行正常的通信。过去的黑客攻击方式大多数都是针对目标进行的,现在已转移到Web之上。

构成Web的四个要素:数据库、编程语言、Web容器、Web应用程序的设计者

在这里插入图片描述

在这里插入图片描述

攻击者直接对目标下手一般有三种手段:

  • C段渗透:通过ARP等手段对同一网段内的一台主机进行渗透
  • 社会工程学:高级手段
  • Services:主要手段
    在这里插入图片描述

2. 如何更好的学习web安全

根据应用场景要学精一门编程语言,然后学其他的,渗透测试要求读得懂即可,能写最好。

  • C/C++(偏底层):Windows开发、C/S架构、缓冲区溢出、底层协议
    • 如:NC、LCX、DNSSniffer、Hydra、溢出程序、远程控制等
  • Java(跨平台):C/S架构、B/S架构
    • 如:Burp Suite、reDuh、Paros proxy、WebScarab、Owasp Zap等
  • C#(与Java相似,但不跨平台):应用层开发、C/S架构、B/S架构、知识.NET Framework
    • 如:Pangolin、Jsky、微软官网等
  • PHP(必会):跨平台的脚本语言,能力仅限于Web、速度较慢、不支持多线程。
  • Python(最受喜爱):跨平台的脚本语言,Shell、Web开发(相较于C/C++速度慢)
    • 如:SQLMap、W3af、Python、Backtrack等
  • HTML(必会):前端语言之一
  • JavaScript(必会):前端语言之一
    • 如:XSS漏洞
  • 数据库:Oracle、MySQL、SQL Server、DB2
Yan3y~
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全深度剖析
08-31
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度剖析》从攻到防,从原理到实战,由浅入深、循序渐进地介绍了Web 安全体系。全书分4 篇共16 章,除介绍Web 安全的基础知识外,还介绍了Web 应用程序中最常见的安全漏洞、开源程序的攻击流程与防御,并着重分析了"拖库"事件时黑客所使用的攻击手段。此外,还介绍了渗透测试工程师其他的一些检测方式。 《Web安全深度剖析》最适合渗透测试人员、Web 开发人员、安全咨询顾问、测试人员、架构师、项目经理、设计等人员阅读,也可以作为信息安全等相关专业的教材。
web安全技术
qq_30401659的博客
09-14 1758
加密机制 加密算法 数据加密算法有对称加密、非对称加密和信息摘要三类。 对称加密是使用单个密钥对数据进行加密和解密。有DES、AES、RC-5等算法。 非对称加密是使用一对密钥(公钥和私钥)对数据进行加密和解密。有RSA、ECC等算法。非对称加密大概比对称加密慢100倍以上。 通常的用法如下: (1)、使用公钥加密数据,使用私钥解密数据。(2)、使用私钥签名数据,使用公钥验证签名。
【学习笔记】《Web安全深度剖析》整理
小张同学的博客
01-03 6198
参考书:《Web安全深度剖析1.1 服务器如何被入侵? 渗透条件:与服务器通过端口正常通信。 web应用程序(客户端,一般为浏览器)默认运行在80端口上。 渗透服务器,一般有三种手段: C段渗透:渗透同一网段的主机对目标主机进行ARP等渗透。 社会工程学: 服务:直接针对服务进行溢出。 随着Web2.0时代到来,互联网从C/S(客户端/服务器)架构变为B/S(浏览器/服务器)架构。Web请求基于HTTP协议。 2.1 HTTP协议解析 2.1. 1 发起HTTP请求 输入URL,就发起了HTT.
web安全深度剖析】学习记录
m0_46152753的博客
04-22 123
开始学习web安全,从《Web安全深度剖析》一书开始
Web安全深度剖析-笔记
qq_30378851的博客
11-20 3329
Web安全深度剖析-笔记 文章目录Web安全深度剖析-笔记HTTP基础知识http请求方法http状态码http消息头(字段)截取HTTP请求搜索引擎劫持SQLmap注入注入基础知识使用DVWA来练习使用sqlmapSQLmap基本使用方法更多的选项简述利用过程其他常用的参数用法SQLmap能检测到的注入类型其他检测SQL注入的工具上传漏洞WEB解析漏洞简介IIS6.0解析漏洞APACHE漏洞PH...
web安全深度剖析
qq_44902553的博客
09-06 856
web安全深度刨析阅读笔记
Web安全深度剖析(张柄帅)
07-25
第1章 Web安全简介 2 1.1 服务器是如何被入侵的 2 1.2 如何更好地学习Web安全 4 第2章 深入HTTP请求流程 6 2.1 HTTP协议解析 6 2.1.1 发起HTTP请求 6 2.1.2 HTTP协议详解 7 2.1.3 模拟HTTP请求 13 2.1.4 HTTP协议与...
高并发服务器源码web_server
09-23
《深入剖析高并发服务器源码:web_server》 在当今互联网时代,高并发服务器已经成为支撑大规模业务系统不可或缺的重要组成部分。本文将围绕“web_server”这一高并发服务器的源码进行深度解析,帮助开发者理解其...
深入剖析TomCat(高清版)
01-06
《深入剖析TomCat》是一本专注于Java Web服务器Tomcat的深度学习资料,它为开发者提供了全面、详尽的TomCat内部工作原理和技术细节。这本书的高清扫描版本,旨在帮助学习者在视觉体验上得到提升,使得阅读过程更为...
深入剖析Tomcat+源码
02-19
《深入剖析Tomcat》是一本专注于Java Web服务器Tomcat的深度解析资料,包含了对Tomcat源码的细致分析。此资料包提供了多个文件,包括"深入剖析Tomcat源码.rar","深入剖析tomcat.pdf",以及"apache-tomcat-7.0.32-...
《深入剖析Tomcat》的光盘源码
06-09
《深入剖析Tomcat》这本书是Java Web开发领域中的一本经典之作,主要针对Apache Tomcat服务器进行了详尽的解析和深入的研究。Tomcat是一款开源、轻量级的Servlet容器,广泛应用于各种Java Web应用程序的部署。这本书...
WEB手成长之路——《WEB安全深度剖析》学习笔记
nobody_s_captain的博客
09-23 479
WEB安全深度剖析》学习笔记基础篇HTTP请求流程HTTP协议报文格式HTTP请求HTTP响应HTTP头HTTP与HTTPS的区别 基础篇 计划使用一天(2020.9.23)时间完成 HTTP请求流程 web2.0时代,由C/S架构转变为B/S架构(浏览器/服务器) 书中写的http1.1而2014年12月,互联网工程任务组(IETF)的Hypertext Transfer Protocol Bis(httpbis)工作小组将HTTP/2标准提议递交至IESG进行讨论,于2015年2月17日被批准。
web安全深度剖析》学习笔记①
weixin_51614848的博客
05-13 456
参考书籍:《web安全深度剖析》张炳帅 著 第一章 Web安全简介 (1)攻击者对计算机渗透的一个必需条件:攻击者的计算机能与服务器正常通信。服务器依靠端口与客户端通信,攻击者入侵也是靠端口,或者说是计算机提供的服务。 (2)web四个要点:数据库(存储数据),编程语言(将设计变为真实的存在),web容器(作为终端解析用户请求和脚本语言),优秀的web程序设计者(设计个性化的程序)。 (3)攻击者所掌握的部分技能图: (4)作者认为不错的一些编程语言及应用领域 第二章 深入http请求流程 1.HT
web安全是什么?主要分为哪几部分?
最新发布
bdfcfff77fa的博客
03-23 2581
随着web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在web平台上,web业务的迅速发展也引起黑客们的强烈关注,接踵而来的就是web安全威胁的凸显。黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对web应用安全的关注度也逐渐升温。
浅谈Web安全技术----RBI
Sunccie36615的博客
06-06 5376
RBI(Remote Browser Isolation),中文翻译过来叫远程浏览器隔离技术
Web前端开发中的黑客技术以及安全技术(共七种)
javagty6778的博客
03-03 674
想当黑客?是的,基本每个程序员都有一颗相当黑客的心。从【黑客帝国】再到【欧洲攻略】,Hackers总是在黑暗中微笑,慢慢的侵蚀着互联网,侵蚀着他想要去的地方,获取别人的数据库,获取自己想要的信息,是不是帅到不讲武德。但是,我们身为公司的员工,我们有义务和责任保护公司的信息安全,这时候,我们可能有需要和黑客作斗争,化身为正义的天神,与黑暗中那个微笑的男人征战。所以说,这篇文章我想告诉大家前端黑客是如何操作的以及在公司我们如何保护好项目不受侵犯。
Web安全技术(2)-安全概述
gp_leo的专栏
04-23 1070
一、安全的要素 信息安全的核心问题是要保障数据的合法使用者能够在任何需要该数据时获得保密的,没有被非法更改过的数据。主要有以下几要素: 机密性 保证数据内容不能泄露。用户的密码用明文保存,就破坏了机密性。 完整性 保证数据内容不被篡改。使用HTTP提交数据时,数据在传输过程中被篡改后再发往服务器,就破坏了完整性。 可用性 保证数据可被正常访问和使用。像拒绝
Web安全基础总结
周游的世界
03-11 5170
Web安全基础总结   1.SQL注入(SQL Injection) 定义: 由于程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 原因分析:     其本质是对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。由于我们的部分WEB应用,采用Jsp+J
OWASP权威指南:Web应用安全深度剖析
"最新web应用安全权威指南" 在Web开发领域,Web应用安全是至关重要的一个环节,这本《最新Web应用安全权威指南》提供了一套全面的解决方案来应对当前网络环境中的各种安全威胁。该书可能包含了关于Web安全的最新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值