基础入门-概念名词

域名
什么是域名？
地址的名称称为域名，例：www.baidu.com
域名在哪里注册？
第三方网址注册，例：万网(www.net.cn)
什么是二级域名、多级域名？
从右到左：根域名、顶级域名、二级域名、三级域名
news.baidu.com、shehui.news.baidu.com
域名发现对于安全测试意义？
当主站域名无法找到漏洞的时候，从多级域名寻找突破口

DNS
什么是DNS？
域名系统服务协议，主要用于域名与IP地址的相互转换
本地Hosts与DNS的关系？
重定向IP地址，网站在解析IP地址的时候会先到hosts查看有没有IP地址，如果没有再去互联网DNS服务器上解析。
C：\Windows\System32\drivers\etc\hosts
CDN是什么？与DNS的关系？
缓存节点技术，通过DNS服务定位用户位置，然后给用户分配最佳CDN节点
常见的DNS安全攻击有哪些？
DNS被攻击会造成大量的用户上网时被恶意解析指向

脚本语言
常见的脚本语言类型有哪些？
asp、php、aspx、jsp、javaweb、pl、py、cgi等
主流：php、javaweb、py
不同脚本类型与安全漏洞的关系?
程序源代码语言的选择将决定这套程序源码漏洞发现上的几率
php:适合小中型网站开发 java：适合中大型项目开发
漏洞挖掘代码审计与脚本类型的关系？
对脚本语言的类型要掌握

后门
什么是后门？有哪些后门？
遗留后门文件，便于下次再进行操作。基于网站后门、基于服务器后门、基于深层次的后门
后门在安全测试中的实际意义？
方便下次再次进入，获取相关权限的时候后门就是操作管道
关于后门需要了解哪些？（玩法，免杀）
深知攻击型再反侦察，防止被相关软件识别到

WEB
web的组成架构模型？
网站源码：分脚本类型、分应用方向
操作系统：windows、linux
中间件（搭建平台）：apache、iis、tomcat、nginx等
数据库：access、mysql、mssql、oracle、sybase、db2、postsql等
架构漏洞安全测试简要介绍？
今后的攻击漏洞和攻击方法都围绕这4方面
为什么要从web层面为主为首？
使用面广

WEB相关安全漏洞
WEB源码类对应漏洞：
SQL注入、上传、xss、代码执行、变量覆盖、逻辑漏洞、反序列化等
WEB中间件对应漏洞：
未授权访问
WEB数据库对应漏洞：
内核漏洞
WEB系统层对应漏洞：
提权漏洞、安全代码执行
其他第三方对应漏洞：
电脑第三方软件
APP或PC应有结合类：
移动端、PC端、网页端

涉及资源：
逍遥模拟器：http://www/xyaz.cn
wsexplorer网络抓包工具：http://www.downcc.com/soft/11196.html
Quasar：https://github.com/quasar/QuasarRAT/releases
https://pan.baidu.com/s/13_i1ExwEaA59GfMt1Rp0Hg 提取码：0b7b