web安全基础名词概念

本节内容根据小迪安全讲解制作

第一天

域名:

1.1什么是域名?

网域名称(英语:Domain Name,简称:Domain),简称域名、网域,是由一串用点分隔的字符组成的互联网上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位。

1.2什么是二级域名,多级域名? 

二级域名,通常指的是在顶级域名下面再划分的一个域名层次。它的形式通常是“子域名.顶级域名”。比如,在域名“www.example.com”中,“www”就是二级域名,而“example.com”是顶级域名。多级域名,则是指在顶级域名下,有多个层次的子域名。它的形式通常是“子域名1.子域名2.顶级域名”。例如,“sub1.sub2.example.com”就是一个多级域名。

 1.3域名发现对于安全测试的意义?

可以给安全测试提供更多的测试点,方便获取更多相关信息,当主站没有突破口时,可以从多级域名的分站尝试

DNS(域名服务器):

2.1什么是DNS?

DNS,Domain Name System,是互联网的核心服务之一,它作为一个分布式数据库,负责将人类可读的域名(如baidu.com)转换为计算机可以直接理解和定位的IP地址。这个转换过程是互联网能够正常运作的基础,使得用户无需记住复杂的数字IP地址,而是通过简单的域名来访问网站。DNS系统由域名服务器和域名解析器组成,其中域名服务器保存有网络中所有主机的域名和对应的IP地址信息,而域名解析器则负责将用户输入的域名解析为对应的IP地址。

总的来说就是:将域名转换为对应的ip地址

可以直接在命令行中通过ping命令,获取对应域名的IP地址

DNS解析顺序:【浏览器的缓存】=》本地操作系统缓存=》DNS服务器(路由缓存=》互联网缓存服务器)

2.2本地hosts文件和DNS关系?

hosts就是系统的一个配置文件,主要配置ip和域名的映射关系,相当于是本地的DNS服务器。

电脑位置:c:\windows\system32\drivers\etc\hosts

2.3CDN是什么

CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输得更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。

2.4CDN与DNS的关系

DNS和CDN的关系体现在:DNS解析是用户访问网站的基础步骤,而CDN则通过缓存和分发内容,进一步优化了这一过程。使用CDN缓存后,网站的访问过程会有所变化。浏览器调用域名解析库对域名进行解析时,由于CDN对域名解析过程进行了调整,所以解析函数库一般得到的是该域名对应的CNAME记录。为了得到实际IP地址,浏览器需要再次对获得的CNAME域名进行解析以得到实际的IP地址。此次解析得到CDN缓存服务器的IP地址,浏览器在得到实际的IP地址以后,向缓存服务器发出访问请求。缓存服务器根据浏览器提供的要访问的域名,通过Cache内部专用DNS解析得到此域名的实际IP地址,再由缓存服务器向此实际IP地址提交访问请求。缓存服务器从实际IP地址得到内容以后,一方面在本地进行保存,以备以后使用;另一方面把获取的数据返回给客户端,完成数据服务过程。

综上所述,DNS负责将域名解析为IP地址,而CDN则通过其全球负载均衡和缓存技术,进一步优化了内容的传输和分发过程,两者共同作用,显著提升了网站的访问速度和用户体验。

2.5常见的DNS安全攻击有哪些?

常见的DNS攻击方式包括DNS隧道攻击、DNS缓存投毒攻击、分布式反射拒绝服务攻击(DRDoS)、DNS劫持、DNS放大攻击等。

脚本语言

3.1常见的脚本语言类型有哪些?

这些都是文件后缀名:asp ,php, aspx, jsp, javaweb ,pl ,py, cgi

3.2漏洞挖掘代码审计与脚本类型的关系?

但是不同的程序的源码,偏重性也会不一样,比如php适合小中型网站的开发,java则适合大中型网站的开发。所以,做网络测试,需要对这些代码有所了解,了解其内置功能、内置架构等。不求深度掌握,但是至少要略知一二,看得懂代码。

后门

4.1什么是后门?有哪些后门?

后门是种植者非法入侵服务器拿到权限以后,留下的一个后门文件,使种植者在系统中不易被发现,方便下次再对目标服务器进行操作(远程操控)。如果不修补后门,系统管理员无法阻止种植者再次进入系统

常见的有:网站后门(web shell)、服务器后门、计算机后门等。

4.2后门在安全测试中的实际意义?

一、方便下次更方便的进入服务器,使种植者进入系统花最少时间。

二、为种植者提供一个通道,方便种植者拿到权限,对服务器内容做更改。

4.3关于后门需要了解哪些?(玩法,免杀)

后门玩法:方便种植者更好的控制服务器,隐藏自己,不易被发现。

免杀 : 防止后门被杀毒软件等检测到,将后门伪装成一个正常的文件。

WEB

5.1WEB的组成构架模型?

  • 网站源码:分脚本类型,分应用类型
  • 操作系统:windows,linu
  • 中间件(搭建平台):apache,iis,tomcat,nginx等,源码跟中间件就是水和杯子的关系,有了服务器,源码才能有用
  • 数据库:access mysql mssql oracl sybase postsql等

5.2为什么要从web层面为主为首? 

web适用面广,很多地方都用得到web服务。往往网站源码出现的漏洞比较多,可以在web上获取到一定的权限之后,再用web去进行权限提升,拿到某台主机、主机数据库的权限,再一步步深入内网、局域网,来获得到更多有价值的信息。

但如果从别的方面、例如直接从操作系统入手的话,就很难找到漏洞,操作系统的漏洞往往是非常少、非常难以发现,而且还会有补丁修复漏洞。而web网站源码是没有补丁的,从web入手进行攻击是比较现实的。

5.3WEB相关安全漏洞

  • WEB源码类对应漏洞
  • WEB中间件对应漏洞
  • WEB数据库对应漏洞
  • WEB系统类对应漏洞
  • 其他第三方对应漏洞
  • APP或PC应用结合类

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/782637.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

java核心-泛型

目录 概述什么是泛型分类泛型类泛型接口泛型方法 泛型通配符分类 泛型类型擦除分类无限制类型擦除有限制类型擦除 问题需求第一种第二种 概述 了解泛型有利于学习 jdk 、中间件的源码,提升代码抽象能力,封装通用性更强的组件。 什么是泛型 在定义类、接…

存储过程编程-创建(CREATE PROCEDURE)、执行(EXEC)、删除(DROP PROCEDURE)

一、定义 1、存储过程是在SQL服务器上存储的已经编译过的SQL语句组。 2、存储过程分为三类:系统提供的存储过程、用户定义的存储过程和扩展存储过程 (1)系统提供的存储过程:在安装SQL Server时,系统创建了很多系统存…

Kafka(一)基础介绍

一,Kafka集群 一个典型的 Kafka 体系架构包括若Producer、Broker、Consumer,以及一个ZooKeeper集群,如图所示。 ZooKeeper:Kafka负责集群元数据的管理、控制器的选举等操作的; Producer:将消息发送到Broker…

MySQL事务隔离

MySQL事务隔离 前言锁共享锁(Shared Lock)排他锁(Exclusive Lock)行级锁(Row-Level Lock)表级锁(Table-Level Lock)快照读和当前读查看锁 事务事务的四个特性事务的并发问题事务的隔…

Chrome 127内置AI大模型攻略

Chrome 127 集成Gemini:本地AI功能 Google将Gemini大模型整合进Chrome浏览器,带来全新免费的本地AI体验: 完全免费、无限制使用支持离线运行,摆脱网络依赖功能涵盖图像识别、自然语言处理、智能推荐等中国大陆需要借助魔法,懂都懂。 安装部署步骤: 1. Chrome V127 dev …

golang验证Etherscan上的智能合约

文章目录 golang验证Etherscan上的智能合约为什么要验证智能合约如何使用golang去验证合约获取EtherscanAPI密钥Verify Source Code接口Check Source Code Verification Status接口演示示例及注意事项网络问题无法调用Etherscan接口(最重要的步骤) golan…

YoloV9改进策略:Block改进|轻量实时的重参数结构|最新改进|即插即用(全网首发)

摘要 本文使用重参数的Block替换YoloV9中的RepNBottleneck,GFLOPs从239降到了227;同时,map50从0.989涨到了0.99(重参数后的结果)。 改进方法简单,只做简单的替换就行,即插即用,非常…

保健品商城小程序模板源码

保健品商城小程序模板源码 简洁通用的保健品,健康生活,零售商品,电子商务微信小程序前端模板下载。包含:主页、购物车、客服、个人中心、我的订单、商品详情、我的钱包、设置等等。 保健品商城小程序模板源码

程序员如何做好需求判断?

1. 导语 本文作为2024上半年核心思考之二。 通过他人经验传导、个人实践、广泛阅读书籍(方法论类、企业经营类、传记类、财务类,具体书单附文末),学会基于更高阶的经营者视角来做好业务需求判断。本文思路如下: 首先,抛一个灵魂问…

【server】springboot 整合 redis

1、redis 使用模式 1.1 单机模式 1.1.1 编译安装方式 1.1.1.1 下载 Redis的安装非常简单,到Redis的官网(Downloads - Redis),下载对应的版本,简单几个命令安装即可。 1.1.1.2 编译安装 tar xzf redis-stable.tar.…

IDEA 开发工具

IDEA 开发工具 IDEA软件激活新建项目新建project 运行调试 IDEA软件激活 访问激活码网进入带*的域名下载并解压左上角的zip包先执行sh uninstall.sh,再执行sh install.sh在带*的网页中复制并使用激活码code 新建项目 新建project file》New〉Project》New Proje…

【测试】系统压力测试报告模板(Word原件)

系统压力测试,简而言之,是在模拟高负载、高并发的环境下,对系统进行全面测试的过程。它旨在评估系统在面对极端使用条件时的性能表现,包括处理能力、响应时间、资源消耗及稳定性等关键指标。通过压力测试,开发团队能够…

MySQL之备份与恢复和MySQL用户工具(一)

备份与恢复 备份脚本化 为备份写一些脚本是标准做法。展示一个示例程序,其中必定有很多辅助内容,这只会增加篇幅,在这里我们更愿意列举一些典型的备份脚本功能,展示一些Perl脚本的代码片段。你可以把这些当作可重用的代码块&…

Python酷库之旅-第三方库Pandas(009)

目录 一、用法精讲 19、pandas.read_xml函数 19-1、语法 19-2、参数 19-3、功能 19-4、返回值 19-5、说明 19-6、用法 19-6-1、数据准备 19-6-2、代码示例 19-6-3、结果输出 20、pandas.DataFrame.to_xml函数 20-1、语法 20-2、参数 20-3、功能 20-4、返回值 …

【国产开源可视化引擎Meta2d.js】网格

画布背景网格 在线体验: 乐吾乐2D可视化 示例: // 设置默认缺省网格属性 meta2d.store.options.grid true; // 开启 meta2d.store.options.gridColor eeeeee; // 网格线条颜色 meta2d.store.options.gridSize 10; // 格子大小// 设置单个图纸的网格…

Golang | Leetcode Golang题解之第222题完全二叉树的节点个数

题目&#xff1a; 题解&#xff1a; func countNodes(root *TreeNode) int {if root nil {return 0}level : 0for node : root; node.Left ! nil; node node.Left {level}return sort.Search(1<<(level1), func(k int) bool {if k < 1<<level {return false}…

【ETABS】【RHINO】案例:Swallow to ETABS

文章目录 01. Swallow Overview总览1 LOAD&#xff1a;Defination of LoadCase、Response Combo2 SectionArea Section and Area Load&#xff08;面截面定义与指定&#xff0c;面荷载指定&#xff09;Frame Section with rebarattr and linear load&#xff08;带钢筋属性框架…

flutter:监听路由的变化

问题 当从路由B页面返回路由A页面后&#xff0c;A页面需要进行数据刷新。因此需要监听路由变化 解决 使用RouteObserver进行录音监听 创建全局变量&#xff0c;不在任何类中 final RouteObserver<PageRoute> routeObserver RouteObserver<PageRoute>();在mai…

Hi3861 OpenHarmony嵌入式应用入门--UDP Server

本篇使用的是lwip编写udp服务端。需要提前准备好一个PARAM_HOTSPOT_SSID宏定义的热点&#xff0c;并且密码为PARAM_HOTSPOT_PSK。 修改网络参数 在Hi3861开发板上运行上述四个测试程序之前&#xff0c;需要根据你的无线路由、Linux系统IP修改 net_params.h文件的相关代码&…

基于轨迹信息的图像近距离可行驶区域方案验证

一 图像可行驶区域方案 1.1 标定场景 1.2 标定步骤 设计一定间距标定场&#xff0c;在标定场固定位置设置摄像头标定标识点。主车开到标定场固定位置录制主车在该位置各个摄像头数据&#xff0c;通过摄像头捕获图像获取图像上关键点坐标pts-2d基于标定场设计&#xff0c;计算…