web安全学习笔记

诸葛龙飞

基础入门

概念名词

域名

• 域名的意义：给测试多种可能
  

DNS

• 域名系统服务协议
  
• 是一种分布式网络目录服务，主要用于域名与ip地址的相互转换，以及控制因特网的电子邮件发送
  
• cdn即内容分布网络，是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡，内容分发，调度等功能模块，是用户就近获取所需的内容，降低网络拥塞，提高用户访问响应的速度和命中率，cdn的关键技术由内容存储和分发技术
  

后门

• 攻击者拿到权限后留下的文件，以方便往后使用
  

免杀

• 防止被杀毒软件检测
  

WEB

web架构模型

• 网站源码：分脚本类型，分应用方向
  
• 操作系统：windows linux
  
• 中间件（搭建平台）：apache iis tomcat nginx等
  
• 数据库：access mysql mssql orcale db2 postsql等
  

web相关漏洞

web源码类漏洞

• sql注入，上传，xss，代码执行，变量覆盖，逻辑漏洞，反序列化等
  

web中间件漏洞

• 未授权访问等
  

web数据库漏洞

• 弱口令等
  

web系统层漏洞

• 提权等
  

其他第三方漏洞

• 第三方软件bug
  

app或pc应用结合类

• 对网站的客户端检测