记录
一、安全基础知识
1.1、安全
- 网站安全的重要性
- 基本的安全属性
- 网站入侵的攻击方法和原理
- Web安全的防御思路
1.2、网站安全的主要应用场合
- 电子商务
- 电子政务
- 票务系统
- 公司内部系统
1.3、几种常见的安全问题
- 拒绝服务(Dos-Denial of service) 现象:大规模无效访问,造成网络堵塞,用户无法访问
- 非法登录 现象:获得网站用户的密码,在网站上随意更改内容
- 数据库级别 现象:任意改变数据库数据,出售数据库数据
- 获得网站管理员权限 现象:网站管理混乱,无基本防护
1.4、安全的基本属性
- 机密性
- 完整性
- 可用性
- 可靠性
- 不可否认性
二、网站入侵的常用攻击方法和原理
2.1、暴力破解
攻击原理
攻击内容:各种登录密码。
利用工具反复性的试探攻击。
缩小海量级试探次数方法:字典档,规则破解
攻击方法:远程破解和本地文件破解
2.2 、SQL注入:
攻击原理:
在Web表单或者查询字符串中输入特殊的SQL命令
实现欺骗服务器或者绕过登录验证
2.3 、上传漏洞
利用上传漏洞直接重到WEBSHELL
网站服务的安全漏洞:
- 字符过滤不严格
- 文件类型未检测
- 上传未加权取
2.4 、XSS跨站攻击
XSS-Cross Site Scripting
攻击原理:
- 恶意用户在网页中插入HTML或者JS脚本
- 引诱用户击点击或者输入用户隐私数据
- 黑客获取用户账号,Cookies等隐私数据
常见攻击方式:
- js方式
- iframe方式
- Ajax方式
常见攻击方式:
- 钓鱼邮件
- 图片链接
2.5 、Cookies诈骗
原理:
- Cookie是存放在客户端的用户数据
- 黑客可以通过修改本地Cookie来冒充管理员或者用户
Cookie查看工具:桂林老兵等
2.6 、Dos攻击
三、Web安全防御思路
