因为我的水平也很菜,以下内容仅为一家之言,待师姐有朝一日成为业界大牛,回头看这篇一定是漏洞百出啊哈哈哈哈!
层次
首先Web安全,其中Web的意思是万维网,所以我认为Web安全,就是网站服务的出现的安全问题。而在建立一个网站的过程中,涉及到非常多的技术,而且都是不同层面的技术。我认为在研究一个问题时,最主要的是要知道研究对象层次结构。或者说他包含了什么?又是什么包含了他?
OSI与TCP/IP分层:
Web组件分层:
我的理解如果把这两张图接到一起就是(没装ps随便在线拼的):
- 操作系统中实现了TCP/IP协议栈
- Web容器默认一般绑定TCP的80端口,实现HTTP协议的通信
- HTTP的通信内容是HTML的网页内容
- 静态HTML的网页内容是写死的
- 动态网页的HTML内容可由Web服务端语言动态生成
技能表
虽然此技能表在业界大佬的评价中不高,但是入门水平绝对比我这个强多了。可以重点关注[专业技能]-[Web安全]标签下的内容。
安全问题
所以一般我们讨论的Web安全问题就是出现在应用层上的问题:
Web容器(服务器中间件)
- 配置错误导致的漏洞
- 容器本身有漏洞
数据库
- 没有过滤的sql语句直接被执行(sql injection)
- 数据库本身配置不当,如弱口令等
后端语言
- 后端语言的逻辑写的不完善,出现一些判断绕过等
- 语言本身的特性导致的漏洞,如php反序列化
前端脚本
- JavaScript脚本在客户端浏览器执行,如果这里注入恶意代码将泄露客户cookie等(xss,csrf)
框架漏洞
- 各中已经写好的框架中出现的漏洞,是(数据库,后端语言,前段脚本)的漏洞集合
各种漏洞的详细理解请参考:黑客攻防技术宝典——web实战篇
工具
- burp(修改http报文)
- wireshark(抓取各种网络数据包,不止http)
- 菜刀(一句话木马的使用工具)
window?linux?
比私房菜薄的入门手册
参考资料
链接:https://pan.baidu.com/s/1nwwhLjF
密码:iw0t
- 黑客攻防技术宝典——Web实战篇(技术框架以及细节)
- 图解HTTP(简单易懂)
- network-protocol-map-2016(网络分层图解)
- 国内顶级培训机构CISSP中英文对照习题1000题(二三部分:电信与网络安全、软件安全开发)
- 图解TCP/IP(选读)