web安全相关名词解析

最新推荐文章于 2024-07-09 22:44:07 发布
最新推荐文章于 2024-07-09 22:44:07 发布
阅读量339 收藏 3
点赞数
分类专栏: web安全 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43238111/article/details/106172514
版权

Web安全—渗透测试相关名词解释

1.什么叫渗透测试?

渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络安全的一种评估方法。

2.相关名词解释

(1) 脚本类型(后附学习网站):

  #asp:https://www.runoob.com/asp/asp-tutorial.html
  #php:https://www.runoob.com/php/php-tutorial.html
  #jsp:https://www.runoob.com/jsp/jsp-tutorial.html
  #aspx:https://www.runoob.com/aspx/aspx-tutorial.html

(2)html:网页编辑语言—超文本编辑语言

  #css
  #js
  #html

(3)http协议:超文本传输语言(与https协议的区别)

  #概念区别(传输信息安全性不同:):
  	http:**超文本传输协议,信息是明文传输**,是一个基于B/S(浏览器与服务器)的请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议。
  	https:  **具有安全性的SSL加密传输协议**,是基于在http的基础上,加入了SSL层的协议。以安全为目的,作用主要分为两种:一种是建立一个安全信息安全通道,保证数据传输的安全;第二种,是确认网站的真实性。
  #端口不同,连接方式不同。
  	http:80,http的连接很简单,是无状态的。
  	https:443,是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议。

(3)C/S与B/S

  #C/S(client/server):客户端与服务器
  #B/S(browser/server):浏览器与服务器
  #两者的区别:
  1.C/S是建立在局域网的基础上的;B/S是建立在广域网的基础上(并不绝对,如智赢IPOWER,在单机,局限网,广域网均能使用)
  2.硬件环境不同: 
    C/S 一般建立在专用的网络上, 小范围里的网络环境, 局域网之间再通过专门服务器提供连接和数据交换服务.
    B/S 建立在广域网之上的, 不必是专门的网络硬件环境,例与电话上网, 租用设备. 信息自己管理. 有比C/S更强的适应范围, 只要有操作系统和浏览器就可以了。
  3.安全性要求
    C/S:面对的使用者比较固定,要求两端都需要考虑安全,另外对安全的控制能力较强。
    B/S:面对的用户人群比较广泛,不固定;只用考虑到服务器的安全即可,对安全的控制能力不强。
  4.适用性考虑
    C/S: 需要安装专门的软件来运行,主要建立在windows平台上。
    B/S:不需要安装专门的软件来运行,只需要浏览器就可以运行了。可以跨平台使用
  5.信息流不同
  	C/S:交互性较低。
  	B/S:交互性高,信息流向可变化,信息也可变,类似于交易中心。
  6.维护不同
    C/S:一处损坏,有时可能要重装系统,需要考虑整体。
    B/S:构件组件得损坏或者需要安装可以在网上自己下载安装维修更换.

(4)肉鸡:

  由于黑客入侵并被长期驻扎的计算机或服务器。

(5)抓鸡:

  利用使用量大的程序的漏洞,使用自动化方式获取肉鸡的行为。

(6)web shell:

  通过web入侵的一种脚本工具,可以对目标网站进行一定程度的控制。

(7)漏洞:

  硬件,软件,协议等等的可利用安全的缺陷,可能被攻击者利用,对数据进行篡改,控制

(8)木马:

  通过向服务端提交一句简短的代码,配合本地客户端实现webshell功能。
  <%eval request(“pass”)%>
  <%execute(request(“pass”))%>
  request(“pass”)接收客户端提交的数据,pass为执行命令的参数值。
  eval/execute 函数执行客户端命令的内容

(9)提权

  操作系统低权限的账户将自己提升为管理员权限使用的方法。
  windows系统:Guest ---user---administrator----system
  linux系统:  user---samba--ftp--- root

(10) 后门

  黑客为了对主机进行长期的控制,在机器上种植的一段程序或留下的一个“入口”。

(11) 跳板

  使用肉鸡IP来实施攻击其他目标,以便更好的隐藏自己的身份信息。

(12)旁站入侵

  即同服务器下的网站入侵,入侵之后可以通过**提权跨目录**等手段拿到目标网站的权限。常见的旁站查询.例如攻击一个服务器上的网站,我们可以通过攻击同一个服务器的另一个网站来获取网站的信息.

	**工具有:WebRobot、御剑、明小子和web在线查询等**

(13)C段入侵

  即同C段下服务器入侵。通过利用同一个局域网种的另一台服务器,安全性能比较弱的,已被入侵来获的主站的内容的方式.

    **工具有:在windows下有Cain,在UNIX环境下有Sniffit, Snoop, Tcpdump, Dsniff** 等。

(14)几种测试方式:黑盒测试,白盒测试,灰盒测试

  #黑盒测试:(Black-box Testing)也称为外部测试(External Testing)	,传统的渗透测试,从远程网络位置来评估目标网络基础设备,模拟攻击者行为来对目标进行测试,在不知道任何信息的情况下,有组织有步骤地利用一些常见的工具对目标组织进行渗透和入侵,揭示目标网络中一些已知或未知的安全漏洞,并评估这些漏洞能否被利用获取控制权或者操作业务资产损失等。

  #白盒测试:(White-box Testing)也称为内部测试(Internal Testing),代码审计,同样是模拟攻击者对目标进行测试,不同的是白盒测试知道关于目标的一些信息,可以利用相关人员的账号信息对目标进行渗透。
  #灰盒测试(Grey-box Testing)是白盒测试和黑盒测试基本类型的组合,它可以提供对目标系统更加深入和全面的安全审查。

(15)APT攻击

  #Advanced Persistent Threat,高级可持续性攻击,是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。
  	特点:
  			1.极强的隐蔽性
  			2.潜伏期长,持续性强
  			3.目标性强

(16)CC攻击

  #CC主要是用来攻击页面的,属于DDoS攻击的一种类型。
  #原理:
  	攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。
寻岛小白
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--43--文件上传漏洞
武天旭的博客
09-21 4446
1、漏洞描述: 文件上传漏洞,直面意思可以利用WEB上传一些特定的文件。一般情况下文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。文件上传本身是web中最为常见的一种功能需求,关键是文件上传之后服务器端的处理、解释文件的过程是否安全。一般的情况有: 1、上传Web脚本语言,服务器的WEB容器解释并执行了用户上传的脚本,导致代码执行。 2、上传Flash...
祖传Web名词解释1
08-03
祖传Web名词解释1 本文对Web相关名词进行了详细的解释,涵盖了HTTP、XML、REST、Ajax、RIA、SVG、XSS、WSDL、Mashup、SOP、WWW、URI、URL、URN、HTML等多个方面。 HTTP(HyperText Transfer Protocol)是互联网上...
Web安全相关术语
分享与记录
03-08 564
1. IP地址 互联网协议地址(英语:Internet Protocol Address,又译为网际协议地址),缩写为IP地址(英语:IP Address),是分配给网络上使用网际协议(英语:Internet Protocol, IP)的设备的数字标签。常见的IP地址分为IPv4与IPv6两大类,但是也有其他不常用的小分类。 2. VPS 虚拟专用服务器(Virtual Private Serve...
网络安全基础:网络安全常用术语
最新发布
qq_55038440的博客
07-09 759
N day 漏洞指的是已经被软件开发者知晓,漏洞的修复补丁已经发布 n 天,但由于各种原因受害者仍未打补丁。:软件漏洞指的是计算机程序或应用程序中存在的安全弱点或缺陷,可能会被攻击者利用来违反系统的安全性。:网络漏洞指的是网络基础设施、协议或配置中存在的安全弱点或缺陷,可能会被攻击者利用来违反网络安全性。:硬件漏洞指的是计算机系统或设备中的安全弱点或缺陷,可能会被攻击者利用来违反系统的安全性。:人员漏洞指的是由于人为因素导致的安全弱点或缺陷,可能会被攻击者利用来违反系统的安全性。
web安全的一些专业术语介绍
giun的博客
02-28 1408
一、CMS(B/S) CMS是网站内容管理系统。简单点说,我们做网站,一般是去网上下载一些源码,然后自己修改,别人写好的,这样是有后台的,别人可以去登入去管理。这样的源码,就叫CMS。常见的cms有dedecms,dz,南方等等。 医院常用的CMS:之梦 教育常用的CMS:之梦 博客类型网站常用的CMS:Wordpress 1、 动易CMS系统主要用于小型网站和个人网站。 2、酷源CMS: 酷源科...
web安全相关概念
Shock_的博客
04-09 1043
大家学习时,应该都听过sql注入,上传,xss攻击,csrf,一句话木马等,写这个也是为了让我更好的去学习,现在的还是个小白,当个笔记来写的;刚开始应该熟悉一些关键词就上面说的,我对csrf是挺陌生的,于是就先查了查cstf; CSRF:(Cross-site request forgery)跨站请求伪造,听着和xss差不多,但我在百度中查到的是他们两个是不同的;
Web安全相关概念
weixin_34273046的博客
03-26 124
基本概念: SQL注入:在与数据库交互的地方,加入SQL语句来获得数据库信息,绕过某些登录,执行系统命令等的操作   例如:利用万能密码登录后台,添加用户,执行系统命令,获取密码等 上传:对用户上传文件类型判断失误,导致上传攻击者的脚本文件,从而对网站进行攻击   上传需要绕过:1.客户端js脚本检测:刚选中文件就弹出"文件不合法"等提示(先把后缀一改,上传的时候,抓包更改为原后缀)  ...
网络安全技术常见名词解释.docx
10-01
### 网络安全技术常见名词解释 #### TCP/IP协议 传输控制协议/因特网互联协议(TCP/IP)是互联网最基础的协议之一,它定义了电子设备如何接入互联网及数据传输的标准。该协议由两个核心部分组成:网络层的IP协议与...
网络安全相关名词.docx
09-30
网络安全相关名词 CGI(Common Gateway Interface)是一种工具,用于HTTP服务器与程序之间的“交谈”,其程序须运行在网络服务器上。CGI程序使网页具有交互功能,功能主要是解释处理表单的输入信息,并在服务器产生...
WEB应用系统安全规范文档样本.doc
12-18
名词解释 - **WEB应用程序体系构造**:指应用的架构设计,包括服务器端、客户端、数据库和其他组件的交互方式。 - **安全编码**:遵循最佳实践的编程方式,防止因代码缺陷导致的安全问题。 - **SSL**:Secure ...
网络安全名词解释.doc
07-09
是由一套internet数据安全协议,被广泛地用于web浏览 器与服务器之间的身份认证和加密数据传输;ssl协议位于tcp/ip协议与各种应用层协议 之间为数据通信提供安全支持。 信息安全:保护信息和信息系统,以避免未授权...
简谈什么是CDN
weixin_44269229的博客
03-18 371
什么是CDN 下面为了让大家更好的理解什么是CDN,我们举一个通俗一点的例子: 谈到CDN的作用,可以用8年买火车票的经历来形象比喻: 8年前,还没有火车票代售点一说,12306.cn更是无从说起。那时候火车票还只能在火车站的售票大厅购买,而我所住的小县城并不通火车,火车票都要去市里的火车站购买,而从县城到市里,来回就是4个小时车程,简直就是浪费生命。后来就好了,小县城里出现了火车票代售点,可以直...
Web 安全概念
afk46847的博客
07-27 310
Web 安全概念 Web 应用中存在很多安全风险,这些风险会被黑客利用,轻则篡改网页内容,重则窃取网站内部数据,更为严重的则是在网页中植入恶意代码,使得用户受到侵害。常见的安全漏洞如下: XSS 攻击:对 Web 页面注入脚本,使用 JavaScript 窃取用户信息,诱导用户操作。 CSRF 攻击:伪造用户请求向网站发起恶意请求。 钓鱼攻击:利用网站的跳转链接或者图片制造钓鱼陷阱。 ...
Web安全术语
jiet07的博客
02-16 260
文章目录漏洞软件错误(Software error)软件漏洞(Software vulnerablility)攻击(Attack)危害(compromise) 漏洞 漏洞是一种可以被对缺陷具有利用能力的攻击者访问并利用的缺陷,要素: - 缺陷 - 攻击者能访问缺陷 - 攻击者有利用缺陷的能力 软件错误(Software error) 会导致软件无法满足预期的编程错误 软件漏洞(Software v...
【小迪安全web安全-概念名词
SilentBoy_ben的博客
10-25 446
域名 1.什么是域名? 网络地址 2.域名在哪里注册? 腾讯云,阿里云 3.什么是二级域名,多级域名? news.baidu.com 在一个普通域名前面还带数字或字母的,以此类推 4.域名发现对安全测试意义? 在渗透主站发现措施比较完善,无从下手可以换个思路从子域下手,因为无论是同服务器还是同网段两者之间一定有关联,从子域下手一步步提权再往上走 DNS 1.什么是DNS? 域名系统服务协议,...
什么是Web安全
w候人兮猗
12-18 2221
前言 Web安全主要有如下几大分类 XSS CSRF(跨站请求伪造) SQL注入 命令行注入 DDos注入 流量劫持 XSS 非持久型XSS(反射型)漏洞 简介 攻击者通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行,从而达到攻击目的(获取用户信息,侵犯隐私) 特点 注入方式不是来源与URL,通过后端从数据库读取数据。不需要诱骗点击,只要求攻击者在提交表单的地方完成注入即可 解决方法 Web页面渲染所有内容或渲染的数据必须来源于服务器 不要从 U
Web安全基本概念
weixin_43994244的博客
03-04 7266
域名 什么是域名? 域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 例:www.baidu.com DNS 什么是 DNS? 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过2
web安全专有名词知识点记载
白清羽的博客
07-13 313
文章内容来源与--百度百科 1、HA: 是High Available缩写,是双机集群系统简称,指高可用性集群,是保证业务连续性的有效解决方案,一般有两个或两个以上的节点,且分为活动节点及备用节点。 HA应用: LATCH HA 是X0;linux Latch 系列的高可靠性的服务器集群系统解决方案。 今天各行业的顺利运转都依赖于计算机系统。商品的订货、配送、...
初识web安全4--安全行业专业名词
weixin_45126664的博客
07-23 966
安全测试过程中为了方便与团队协同合作,我们需要掌握一些专业术语,方便我们的交流,减少沟通障碍! 1、0day: 0day漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知,所以没有可用的补丁程序。 它是危害最大的漏洞,对攻击者来说也是最有价值的漏洞。如果被曝光,那么在广商的官方补丁发布之前,整个网络都处于高危预警状态。 2、黑盒测试:在安全领域,黑盒测试就是不给你源代码,让你按照黑客攻击的手法进行测试。以发现目标的安全性问题。 3、白盒测试:白盒测试会给你web应用的源代码,让你通过代码
web spam名词解释
06-08
Web spam是指一些为了欺骗搜索引擎或用户而存在的网页。这些网页可能包含大量的关键词堆积、隐藏文字、链接垃圾、重复内容、恶意软件等不良内容,以提高网页排名和点击率,从而获得更多的流量和利润。Web spam的存在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值