WEB安全基础入门-概念名词

本文章主要对WEB安全的基本入门做一个系统的概述及基本认识！

1、域名
域名即与IP地址一一对应的名称，网上有多个注册域名的网站如万网注册域名。

在域名中www.为顶级域名，其后为多级域名，在WEB安全中对多级域名的收集尤为重要，因为在打开一个网站的主网页时可能并不能发现什么漏洞，但是对它子域名所在的网页渗透时就可能存在漏洞，并且可能对整个网站也造成影响。简单来说，对多级域名的收集就是让你在渗透时有了更多的看可能。
2、DNS域名系统服务协议

DNS主要就是用于确定域名与IP之间一一对应的关系。
在这里就涉及到一个本地HOST文件和DNS之间的关系，在浏览器中输入域名申请服务时，浏览器首先是会在本地HOST文件中查询域名对应的IP若找到就根据这个IP进行服务请求，如果没找到就在DNS服务器上去查询。
本地HOST文件在本地的路径即为C:\windows\System32\drivers\etc
相应的到渗透到一台主机是就可以修改其HOST文件中IP与域名对应的关系，进而可以进行某些劫持攻击。

3、脚本语言

所谓脚本文件就是操作命令集合的执行文件。 主流的脚本语言有：JavaWeb,PHP

4、后门

后门即是一个拥有执行权限的执行文件的统称。 分类有：网站后门WebShell文件，服务器后门shell文件
对后门的入门只需要了解如何操作后门文件；以及做到免杀，避免被网站或者主机的安全服务程序拦截。

5、Web
Web的组成框架：

• Web源码框架：分脚本类型和应用类型，web源码语言的安全性一定程度上决定了网站的安全性

• 操作系统：windows,linux

• Web中间件：apache,iis,tomcat等

• • Web数据库：mysql,sqlserver等
    在进行漏洞挖掘是首先进行的就是对WEB进行挖掘，因为web存在的漏洞最多。

6、Web对应的漏洞
Web源码对应的漏洞：

• SQL注入，XSS，反序列化，逻辑漏洞等

Web中间件对应漏洞：

• IIS，PUT漏洞，短文件名猜解等

Web数据库对应漏洞：

• SQL注入，跨站脚本攻击等

Web操作系统对应漏洞：

• 提权，远程代码执行等

其他第三方漏洞：

• 有第三方软件引起

APP或PC应用结合类：

• 逆向工程

本文只作为初学者入门了解，之后会更新具体类容及具体才做。以后会持续更新，坚持每天一更！