1.1 伺服器是如何被入侵的
①攻擊者想要對計算機進行滲透,有乙個條件是必需的:攻擊者的計算機與伺服器必須能夠正常通訊。
②伺服器提供各種服務供客戶端使用,伺服器與客戶端通訊依靠的就是埠,而攻擊者入侵也是靠埠或者伺服器提供的服務,web預設執行在伺服器的80埠之上,也是伺服器提供的服務之一。
③注:web容器又稱中介軟體,負責作為終端解析使用者請求和指令碼語言等,當使用者通過統一資源定位符(url)訪問web時,最終看到的是web容器處理後的內容,即html文件。
④伺服器的風險點如下圖所示,攻擊者入侵伺服器可能就是從這些點下手的,同時也是攻擊者所掌握的部分技能圖:
攻擊者在滲透伺服器時,直接對目標下手一般有三種手段:
①c段滲透:攻擊者通過滲透同一網段內的一台主機對目標主機進行arp等手段的滲透。
②社會工程學:針對人性的漏洞發起的攻擊。
1.2 如何更好地學習web安全
多看書、多看文章、多實戰挖洞、多復現好的文章、多學web安全之外還要多學程式語言,知識是積少成多的,思維是需要發散的。
《web安全深度剖析》筆記(二)
http狀態碼,3個數字。第一位定義響應類別 1xx 資訊提示表請求已被成功接收,繼續 100 1012xx 成功,伺服器成功處理請求 200 2063xx 重定向,告訴客戶端新資源位址,瀏覽器重新對新資源傳送請求 300 3054xx 客戶端錯誤狀態碼 401 4155xx 有效請求但 web伺服...
《Web安全深度剖析》學習筆記(二)
google hack google hack的常用語法 關鍵字說明 site 指定網域名稱 intext 正文中存在關鍵字的網頁 intitle 標題中存在關鍵字的網頁 info 一些基本資訊 inurl url中存在關鍵字的網頁 filetype 搜尋指定檔案型別 查詢網頁標題含有 管理登入 並...
Web安全測試 讀書筆記
安全測試就是要提供證據表明,在面對敵意和惡意輸入的時候,應用仍然能夠充分地滿足它的需求。提供證據 設計反安全的輸入和對軟體進行測試是最難做的事。提供證據過程中較難的部分是創造出可能會造成這種狀況的輸入,然後確定這種狀況是否會發生。滿足需求 安全測試就是要提供證據表明,在面對敵意和惡意輸入的時候,應用...