这部分内容作者写的比较浅,科普文
目录
CGI(Comment Gateway Interface)通用网关接口
HTML
超文本标记语言
CSS
层叠样式表,指定如何展示HTML内的各种元素,属于样式表标准之一。
动态HTML
调用客户端脚本语言JS,实现对Web的动态改造;利用DOM(文档对象模型)课指定要发生动态变化的HTML元素。
CGI(Comment Gateway Interface)通用网关接口
Web服务器在接收到客户端发送来的请求后转发给程序的一组机制
Servlet
改进的CGI;因Java而普及;解决CGI的问题的对抗技术
XML
可拓展标记语言;
与HTML相比,对数据记录方式方面做了特殊处理
RSS
简易信息集合;
发布新闻或者博客日志信息等更新信息文档的格式总称;
比如CSDN博客上也有:
针对Web应用的攻击模式
- 主动攻击
攻击者直接访问Web应用,把攻击代码传入攻击模式;
SQL注入攻击;OS命令攻击 - 被动攻击
利用圈套策略执行攻击代码的攻击模式;
Web应用的安全策略
-
客户端验证
-
Web应用(服务器端)验证
输入值验证;
输出值转义;
跨站脚本攻击
-
在动态生成的HTML处发生
-
对用户的Cookie窃取和攻击
SQL注入攻击
OS命令注入攻击
HTTP首部注入攻击/HTTP响应截断攻击
攻击者在响应首部字段内插入换行,添加任意响应首部或主体的一种攻击;
- 设置任何Cookie信息
- 重定向至任意URL
- 显示任意的主体
邮件首部注入攻击
目录遍历攻击
对本无意公开的文件目录,通过非法阶段其目录路径后,达成访问目的的一种攻击;
远程文件包含漏洞
当部分脚本内容需要通过其他文件读入时,攻击者利用指定外部服务器的URL充当依赖文件,当脚本读入后,就可以运行任意脚本的一种攻击;
因设置或者设计上的缺陷引发的安全漏洞
- 强制浏览
浏览非自愿公开的文件 - 不正确的错误消息处理
Web应用抛出的错误消息;
数据库等系统抛出的错误消息 - 开放重定向
因会话框管理疏忽引发的安全漏洞
- 会话框劫持
- 会话框固定攻击
- 站点请求伪造
密码破解
- 穷举法
- 字典攻击
事先收集好候选密码
从已加密过的数据导出明文
- 通过穷举法/字典攻击法
- 彩虹表
由明文密码以及对应的散列值构成的一张数据库表,通过事先制造庞大的彩虹表; - 拿到密钥
- 加密算法的漏洞
点击劫持
Dos攻击
让运行中的服务器呈现停止状态
- 利用访问请求造成资源过载;
- 通过攻击安全漏洞使服务器停止
后门程序
- 开发阶段作为Debug调用的后门程序
- 开发者为了自身利益植入的后门程序
- 攻击者通过某种方法设置的后门程序