web安全知識預備
阿新 • • 發佈:2022-03-19
web安全知識預備
一、前置技能
1. 作業系統
2. 資料庫
3. HTTP協議
附:https://www.cnblogs.com/an-wen/p/11180076.html
4. HTML/CSS/JavaScript
這部分屬於前端設計內容,無需熟練掌握敲程式碼的能力,但要能明白各自程式碼的功能及作用。
如HTML標籤對應頁面上的哪些元素,CSS樣式是幹嘛的,JavaScript在前端是什麼角色,起到什麼樣的作用?
5. 程式設計
二、web工具配置
1. 虛擬機器
要求會使用VM虛擬機器搭建靶場等環境以便模擬場景。
2. BurpSuite
一款WEB應用程式的整合攻擊測試平臺,要求重點掌握!
內建功能較多,重點需要學會使用proxy(代理截包)、Intruder(自動化攻擊)、repeater(重新發包)、decoder(編碼解碼模組)
3. 菜刀類工具
4. 埠掃描
此類可使用的工具較多,其中需重點了解nmap的使用。
5. 目錄爆破
三、攻擊型別
1. SQL注入
等等......
具體測試攻擊的方法可以使用sqlilab實驗
2. XSS(跨站指令碼攻擊)
目的:
- 竊取cookie,劫持會話
- 黑產(誘騙點選,網路釣魚,木馬挖礦)
- 服務端執行命令(內網掃描,篡改頁面)
型別:
- 反射型(誘騙點選使用者彈出自己cookie)
- 儲存型(使用者訪問被植入的網站,如留言板)
- DOM型(document object model文件物件模型)
3. 檔案上傳漏洞
上傳漏洞顧名思義,就是攻擊者上傳了一個可執行檔案如木馬,病毒,惡意指令碼,WebShell等到伺服器執行,並最終獲得網站控制權限的高危漏洞。
4. 檔案包含漏洞
如果允許客戶端輸入控制動態包含在伺服器端的檔案,會導致惡意程式碼的執行與敏感資訊的洩露,主要包括本地檔案包含和遠端檔案包含兩種形式。
5. RCE(遠端命令執行漏洞)
web應用程式有時需要呼叫一些系統命令的函式,如PHP中的system,exec,shell-exec等等,當用戶能夠控制這些函式中的引數時,就可以將惡意參系統命令拼接到正常命令中,從而造成命令注入攻擊,造成:繼承web應用程式的許可權去執行系統命令讀寫執行檔案、反彈shell、控制整個網站甚至整個伺服器、進一步內網滲透等危害。
6. XEE注入
由於程式在解析輸入的XML資料時,解析了攻擊者偽造的外部實體而產生的。
7. SSRF(服務端請求偽造)
一般情況下,SSRF攻擊的目標是從外網無法訪問的內部系統。正是因為它是由服務端發起的,所以它能夠請求到與它相連而與外網隔離的內部系統。