Web安全简介
网络攻击重心转向应用层,web成为攻击首选
用户个人信息泄露
常见web攻击动机: 入侵服务器
关闭web站点,把绝服务 批量入侵门户网站 篡改页面等
基础术语.
后门 服务器不知漏洞
web shell 应用术马
O day 未公开漏洞
exploit 漏洞利用手法
提权 提高权限
跳板 通过以被攻击的网站功击另一个网站
拖库 将网站中的数据库复制下来
社会工程学 进行骗术
apt攻击 不择手段
主流改击手段:基于应用层
弱口令攻击 Ddos攻击:占用流量
配置缺陷 远程溢出攻击:系统
app欺骗攻击 应用漏洞
SQL注入/XSS/CS/RF等 木马及蠕虫病毒
渗透测试 PTES渗透测试执行标准
黑盒测式:地址,测试盲测 白盒测试:对源码分析审计 灰盒测试:二者相结合。
前期交互 情报收集* 威胁建模 漏洞分析* 渗透攻击* 后渗透攻击 报告
OWASP+大wb应用安全威胁项目
注入 安全配置错误 使用含有已知漏洞组件 跨站请求伪造CSRF
失效身份认证 会话管理 敏感信息泄露 未验证的重定向和转发
跨站脚本XSS 功能级访问控制缺失 不安全的直接对象引用