1、初步了解
攻击者要攻击Web
服务器首要前提就是攻击者的计算机可以与服务器之间进行正常的通信。服务器为客户端提供服务,客户端通过访问服务器的某个端口使用服务器提供的服务,攻击者攻击的就是服务器的端口。
- 构成
Web
的四大部分:- 数据库:
MySQL
、MSSQL
、Oracle
… - 编程语言:
C/C++
、Java
、Python
… Web
容器:TomCat
、Jboss
、Weblogic
…- 优秀的
Web
程序设计人员
- 数据库:
2、Web
攻击的分类
总体都是对服务器攻击,细分为:
- C段攻击:通过渗透某台与服务器相连的主机进而对服务器发起攻击
Service
- 溢出
MySQL
Web
SQL
注入- 上传攻击
XSS
:跨站脚本攻击- 逻辑漏洞
- 代码执行
- 文件漏洞
- 等等…
MSSQL
:Mircosoft SQL Server
微软提供的数据库管理系统RDP
:远程桌面连接协议- 等等…
- 社会工程学
3、Web
安全学习方法
首先要学会坚持,要掌握多种编程语言;对于编程语言的学习选择应该遵循需要用什么就学什么,因为不同的编程语言所擅长的领域不同,故而掌握不同。(作为
Web
安全人员要比普通程序员更加努力)
不同编程语言的擅长领域:
-
C/C++
:用不衰败的语言,适合做底层开发,适用于研究缓冲区溢出,以及针对协议编写一些软件
Java
:跨平台,依次编译多次运行,适合应用层开发
C#
:和Java
差不多,适合于应用层开发,但是不是跨平台的
PHP
:跨平台,脚本语言,无需编译;但局限于Web
,安全人员必会语言
Python
:跨平台,脚本语言,无需编译
HTML
、JavaScript
:前端编程语言,Web
安全人员必会
- 数据库:
SQL
语言也是必会,