目录
1、SQL注入:通过数据库与脚本的传输中产生的安全问题,获取网站的数据,也有的可以直接获取网站权限。
2、文件上传:大部分通过文件上传相关网站后门程序来得到网站权限。
3、Xss跨站攻击: 脚本语言中输入输出的问题带来安全问题,可获得网站admin权限,网站重定向,蠕虫攻击等。(未学习)
4、文件包含:代码中包含即意味着执行,文件包含会引起包含后门文件导致网站被入侵的可能。(未学习)
一、专业名词是什么?
web安全 对网站应用程序的安全攻防 在不同的领域 又可以叫渗透测试, 渗透测试是一个很大的概念 而WEB安全则是其中的一门专业技术。
二、一般网站的渗透过程是怎样的呢?
1、对于网站渗透这一块,寻找漏洞是第一个突破口, 常规的来说都会以收集信息,漏洞扫描等一步步的展开,其实我觉得并不然如此。首先得了解一个网站的系统整体框架结构,首先搭建一个网站是必须有多个方面来支撑的,(服务器、搭建平台、脚本语言、数据库) 在上面4个必须条件里面出现一个漏洞,都可以作为我们突破的切入口。与其来说寻找扫描漏洞,不如说是从以上4个方面进行相互结合进行漏洞的扫描。
2、一般来说,漏洞发现后都会对其进行分类,然后攻击者会针对不同的漏洞类型进行不同的攻击手法。在学习的过程中其实是学习漏洞分类和攻击手法。
3、在漏洞发现后,利用的过程中,由于漏洞的产生和类型都有本质的区别,所以漏洞成功利用后会有不同的效果出现,不是所有的漏洞都会产生一样相同的效果,反之来说 ,漏洞未利用成功则会有多方面的原因,如防护软件拦截,漏洞补丁修复,人为的因素等等。
寻找漏洞呢: 1、工具扫描:发现漏洞 了解漏洞形成原理及攻击手法。
2、人工查找: 1.手工测试判断 :了解漏洞形成原理及攻击手法。
2.借助漏洞公布平台发现漏洞
三、网站渗透是为了获取什么?得到什么?
需要网站的数据, 需要网站的权限, 需要服务器上的一些文件资料。等。
四、常规的漏洞有哪些?漏洞会产生哪些结果?
常规的漏洞有:SQL注入,文件上传,XXS跨站攻击,文件包含,代码执行,目录遍历等漏洞,其中每个漏洞都会有自己产生的原理,在产生的原理学习漏洞产生的条件和如何利用!
漏洞分类:
1、SQL注入:通过数据库与脚本的传输中产生的安全问题,获取网站的数据,也有的可以直接获取网站权限。
2、文件上传:大部分通过文件上传相关网站后门程序来得到网站权限。
3、Xss跨站攻击: 脚本语言中输入输出的问题带来安全问题,可获得网站admin权限,网站重定向,蠕虫攻击等。(未学习)
4、文件包含:代码中包含即意味着执行,文件包含会引起包含后门文件导致网站被入侵的可能。(未学习)
己亥猪年2019/1/20