• 《网络攻防技术与实践》第五周学习总结


    20159210 《网络攻防实践》第五周学习总结

    教材学习内容总结

    这一周学习了教材第四部分,这部分主讲Web安全攻防。包含了第十一章和第十二章两章内容。
    第十一章讲的是Web应用程序安全攻防。这一部分我主要记录一些我认为比较有意思的知识。
    1.B/S架构。这一章对B/S架构做了系统详解。通过这一部分的知识,都这也能很好地理解,B/S应用架构的崛起是其必然。客户端只需要进行少量的数据显示和渲染功能,主要的运算都交给强大的服务器执行。
    2.Web体系结构。包含了五个部分:浏览器,Web服务器,Web应用程序,数据库,传输协议HTTP/HTTPS。了解这五个部分,也就了解了针对这五个部分,各有什么安全威胁。
    3.各个组件存在的安全威胁:针对浏览器和终端用户的Web浏览器安全威胁、针对传输网络的网络协议安全威胁、系统层安全威胁、Web服务器软件安全威胁、Web应用程序安全威胁、Web数据安全威胁。
    4.自动下载与镜像Web页面。文中提到了一款软件叫做Offline Explorer。虽然目前浏览器都已经有了直接保存网页的功能,但是这一款软件确实是专门为“镜像网页”这一个功能而生。
    5.Google Hacking 不是第一次看到了,不过本书中多次提到,对于Google Hacking,还有专门的书籍《Google Hacking for Penetration Testers》。
    6.Web应用各个层次上,安全最薄弱的环节是Web应用程序。原因是:Web应用程序是较其他组件开发过程最快、编码质量和测试水平最低的。同时Web应用程序的复杂性和灵活性又进一步而化了它们的安全性。
    7.zone-h.com.cn网站是国内黑客炫耀自己战绩的网站。
    8.静态HTML网页安全性更高,所以在信息发布类网站无须引入动态页面和用户交互。
    9.SQL注入攻击的原理是向Web应用程序提供的用户输入接口(如一个动态页面的输入参数、表单的输入框,等等)输入一段精心构造的查询命令,攻击和利用不完善的输入验证机制,使得注入代码得以执行完成非预期的攻击操作行为。
    10.XSS漏洞分为两类,一类是持久性XSS漏洞,一类是非吃就行XSS漏洞。
    11.Web浏览器软件的安全困境三要素。复杂性(意味着更多的错误和安全缺陷)、可扩展性(第三方插件缺乏安全保证)、连通性(由于随时连通,一旦出现漏洞很容易被利用攻击)。
    12.在实际中最常用于网页挂马的内嵌标签为iframe。
    

    视频学习总结

    主要讲了一些数据库评估工具的使用、Web应用代理工具的使用,这一部分又着重讲了BurpSuite,还讲了模糊测试工具Fuzz。
    

    学习进度条

    45%
    
    • 上周目标完成情况
      一般

    • 本周学习计划
      教材第五、六章的学习
      完成p174、p221的实践练习
      5个Kali视频学习(21-25)
      教材和视频学习总结发博客,周日晚12:00前完成

    参考资料

  • 相关阅读:
    配置Xmanager远程登录
    如何为ubuntu等Linux系统扩容(LVM)
    CentOS7配置iptables防火墙
    Cetnos搭建vsftp服务器
    vim设置
    zabbix 问题汇总
    转:常用验证正则表达式
    C#对象序列化成XML,以及自定义标签名
    改变FileUpload文件上传控件的显示方式,确认后上传
    改变FileUpload文件上传控件的显示方式,选择文件后自动上传
  • 原文地址:https://www.cnblogs.com/jinh/p/5350886.html
Copyright © 2020-2023  润新知