CA证书的风险控制
CA 证书为网站的安全背书的关键在于它可以保证网站公钥的高可信度,然而单个 CA 机构担保的网站有限,同时,频繁让 CA 私钥处于在线状态也会增加泄密的风险。因此现实中采取树状结构,对 CA 机构进行分级管理,由中间 CA 负责日常的网站证书签发,每一层都分摊一定的风险。而根 CA 只为有限的中间 CA担保,其根私钥基本处于离线的绝对安全状态。
web技术
Web(万维⽹)是⽤户通过浏览器访问、基于 HTTP/HTTPS 协议 建⽴连接,可展示⽹⻚、图⽚、视频 等多媒体内容的全球性信息服务系统。
分为四个部分,客户端:由设备和软件(浏览器/app)组成,http/https协议,web服务器,和web资源。 用户通过客户端输入url定位到服务器,通过tcp三次握手建立连接,通过客户端和服务器之间的请求和响应,服务器将资源传输给客户端,解析渲染内容供用户使用。
web服务器漏洞
apache服务器的经典漏洞在于后缀解析,总是从右往左识别第一个能够解析的后缀,攻击者可上传 xxx.php.xxx 这类畸形后缀⽂件,绕过⽹站的⽂件上传后缀⿊名单限制;上传的恶意PHP脚本被Apache解析执⾏,可直接获取服务器权限。可以通过禁用多后缀文件,严格校验上传文件,禁用执行脚本的权限等
