本文已参与「新人创作礼」活动,一起开启掘金创作之路。
知识点:
1、网站搭建前置知识
2、WEB应用环境架构类
3、WEB应用安全漏洞分类
4、WEB请求返回过程数据包
网站搭建前置知识
域名,子域名,DNS,HTTP/HTTPS,证书等
域名
域名(Domain names)是互联网基础架构的关键部分。它们为互联网上任何可用的网页服务器提供了方便人类理解的地址
子域名
子域名是网站的一个完全独立的部分,它仍然在同一个主域名下运行。例如,你的主域名可以是“.wei.com”,而你的博客可以是子域名“hz.wei.com”。可以将子域名看作是主域名的一个附加方面。
DNS
DNS是互联网的一项服务,它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。简单的讲DNS就是翻译官,就像把www.baidu.com翻译成220.181.111.188让机器理解。DNS是用来做[域名解析](www.zhihu.com/search?q=域名…](www.zhihu.com/search?q=域名…
HTTP/HTTPS
HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全,为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。简单来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。
证书
SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变
WEB应用&架构
理解不同WEB应用组成角色功能架构:
开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等
开发语言:asp,php,aspx,jsp,java,python,ruby,go,html,javascript等
程序源码:根据开发语言分类;应用类型分类;开源CMS分类;开发框架分类等
中间件容器:IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish等
数据库类型:Access,Mysql,Mssql,Oracle,db2,Sybase,Redis,MongoDB等
服务器操作系统:Windows系列,Linux系列,Mac系列等
第三方软件:phpmyadmin,vs-ftpd,VNC,ELK,Openssh等
Windows网站搭建
首先下载
宝塔windows
宝塔面板他其实就是一个集成化平台
里面有很多软件供你们使用
下载好我们的宝塔
安装好后
会提供随机账户和密码
不需要记住密码
因为都是随机的
X掉
复制我们的地址和账户密码
或者直接点击进去面板
进去宝塔后
可以选择小白套装
也可以不选择后期自己搭配
然后你需要注册绑定手机号码
深入了解
WEB应用安全漏洞分类
SQL注入,文件安全,RCE执行,XSS跨站,CSRF/SSRF/CRLF,
反序列化,逻辑越权,未授权访问,XXE/XML,弱口令安全等
SQL注入
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
文件安全
文件安全是指未**经授权的用户不能擅自修改文件中所保存的信息,**且能保持系统中数据的一致性;机密的数据置于保密状态,仅允许被授权的用户访问。
RCE执行
远程命令执行 英文名称:RCE (remote code execution) ,简称RCE漏洞,是指用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。简单来说就是远程执行命令
XSS跨站
XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。简单来说就是对他这个网页植入而已木马
CSRF/SSRF/CRLF
CSRF
我们可以这么理解CSRF攻击:攻击者首先盗用了你的身份,然后以你的名义进行某些非法操作。CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的账户购买商品等。CSRF攻击其实是利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
SSRF
服务器端请求伪造(SSRF)是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。(利用一个可发起网络请求的服务当作跳板来攻击其他服务)
攻击者能够利用目标帮助攻击者访问其他想要攻击的目标
CRLF
回车换行(CRLF)注入攻击是一种当用户将CRLF字符插入到应用中而触发漏洞的攻击技巧。CRLF字符(%0d%0a)在许多互联网协议中表示行的结束,包括HTML,该字符解码后即为 \r\n。这些字符可以被用来表示换行符,并且当该字符与HTTP协议请求和响应的头部一起联用时就有可能会出现各种各样的漏洞,包括http请求走私(HTTP RequestSmuggling)和http响应拆分(HTTP Response Splitting)。
反序列化
序列化就是指将对象转换为字节序列的过程,而反序列化则是只将字节序列转换成目标对象的过程。
逻辑越权
简单的说就是,攻击着利用在检查授权时出现的纰漏,通过一些绕过手段获得更高权限,从而进行访问,修改,删除等操作其他用户甚至更高权限的数据。
未授权访问
就是在攻击者没有获取到登录权限或未授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址
XXE/XML
XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。XML是一个语言,而XXE是一个针对XML语言的一个漏洞名称
弱口令安全
弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,那么我们就可以直接对其进行字典爆破
WEB请求返回过程数据包参考
请求数据包,请求方法,请求体,响应包,响应头,状态码,代理服务器等
Request,Response,User-Agent,Cookie,Server,Content-Length等
常见的状态码
1**:提示信息-表示请求已收到,继续处理
2**:发送成功(200)
3**:重定向(302)
4**:客户端错误
400.发送请求有语法错误
401.访问页面没有授权
403.没有权限访问该页面
404.没有该页面
500.服务端错误
500.服务器内部异常
504.服务器请求超时,没有返回结果
