网络安全基础

rusme

于 2023-03-25 14:26:30 发布

阅读量75

点赞数

文章标签：网络服务器 tcp/ip

本文链接：https://blog.csdn.net/rusme/article/details/129667579

版权

学习目标：

网络安全

学习内容：

网络安全基础

国内网络安全现状 网络威胁监测技术仍待加强信息技术产品自主可控生态亟待建立网络可信身份生态建设尚需强化关键信息基础设施网络安全保障体系仍不完善

网络安全的基本概念
网络安全是保护网络、设备和数据免遭未经授权的访问或犯罪使用的艺术，以及确保信息的机密性、完整性和可用性的实践。现在似乎一切都依赖于计算机和互联网——通信

ARP欺骗定义:
发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到恶意目的。

TCP协议：
在TCP/IP协议中，TCP协议提供可靠的传输服务，传输前需要通过三次握手建立连接

DHCP协议
DHCP(动态主机配置协议)：是一个应用层的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。当我们将客户主机ip地址设置为动态获取方式时，DHCP服务器就会根据DHCP协议给客户端分配IP，使得客户机能够利用这个IP上网。

DHCP地址耗尽攻击方式
在DHCP的地址租期超时之前，已经分配出去的IP地址不会重复分配给其他新接入的终端。返回终端无法分配IP地址，造成新接入的自动IP设置的终端无法接入网络。

DHCP协议基础
1.DHCP工作原理

2.DHCP地址耗尽攻击场景

MetaSploit工具使用：
1.MetaSploit是一种安全框架，为渗透测试工程师提供大量的渗透模块和扫描模块
2.MetaSploit基本命令
在这里插入图片描述

Windows漏洞利用与防护
1.常见的Windows漏洞的利用与防护：[MS17-010、MS08-067、CVE-2019-0708等】
Linux漏洞利用与防护
1.常见的Linux漏洞的利用与防护:[CVE-2017-7494、CVE-2016-5195]
Web安全基础
1.静态网页：静态网页一般是以.htm、 .html为后缀的文件
2.动态网页：动态网页一般是以.php、 .jsp、 .asp .aspx为后缀的文件
3.动态网页请求Apache的处理
在这里插入图片描述

Web应用基本结构

在这里插入图片描述

常用的Web浏览器：
Firefox浏览器等
常见的Web渗透工具：
BurpSuite

Web应用常见漏洞利用与防护：
在这里插入图片描述

1.Webshell与webshell管理工具：
webshell原理

在这里插入图片描述

任意文件下载漏洞已用与防御：
任意文件下载漏洞危害
在这里插入图片描述

SQL简介
什么是SQL：
SQL是结构化查询语言，一种用于存储、操作或检索存储在关系型数据库中数据的计算机语言。
常见的SQL语句：
添加：insert into <表名> [列名] values <列值>
更新：update <表名> set <列名=更新值> [where <更新条件>]
select <列名> from <表名> [where <查询条件表达式>]
delete from <表名> [where <删除条件>]

SQL注入原理及漏洞利用方式
SQL注入漏洞的利用：
union函数
判断字段数order by
注释符号“–+” ： --+ 会被服务端解析为-- ，-- 在mysql中具有注释效果

xss漏洞：全称跨站脚本，是一种常见的web漏洞，它主要是指攻击者可在页面中插入恶意脚本代码，当受害者访问这些页面时，浏览器会解析并执行这些恶意代码，从而达到窃取用户身份、钓鱼、传播恶意代码等行为

xss漏洞分类：反射型xss、存储型xxs、DOM B挨饿受冻 Xss

CSRF漏洞：中文名跨站请求伪造漏洞。
CSRF攻击原理：利用未失效的会话信息，伪装目标用户请求执行目标网站接口。在受害者毫不知情的情况下以受害者的名义伪造请求发送给受攻击站点。

数据库漏洞与防护：
数据库暴力破解工具：hydra、超级弱口令爆破工具、mestasploit
MySQL权限设置-getshell
在这里插入图片描述