web服务组件基础入门笔记小结

发布于 2021-11-18 16:15 ,所属分类:软件编程学习资料

点击上方蓝字我们



1

免责声明


本gongzhong号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,遵守国家相关法律法规,请勿用于违法用途如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。



2

内容速览


Web开发语言

  • PHP

  • ASP

  • .NET

  • JSP

  • ....

Web服务系统

  1. Windows代表:Windows2003,Windows2008常见漏洞:“永恒之蓝”(MS17-010),MS08-067(过时但很经典)

  2. Linux 代表:Ubuntu、CentOS、Redhat 常见漏洞:脏牛漏洞、sudo漏洞

Web数据库

  • 数据库是按照数据结构来组织、存储、管理数据的“仓库”

  • 结构化查询语言:简称SQL,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新、管理(增删改查)信息

  • 典型代表:Mysql、MSSQL、Access、Oracle、Sqlite等

  • 数据库管理软件:Phpmyadmin、Navicat(推荐)等

Web服务软件(又称中间件)

  • Web服务器也称HTTP服务器,它是响应来自浏览器的HTTP请求,并发送网页文件/资源的软件

  • 当访问者在浏览器的地址文本框输入一个URL(统一资源定位系统),或者单击某个链接,会生成一个网页请求

  • 常见中间件:

IIS:Internet信息服务器,一款Windows自带的中间件。是微软提供的Internet服务器软件,包括Web、FTP、SMTP等服务器组件 相关漏洞:IIS短文件泄露、IIS解析漏洞

Apache:是Apache软件基金会的一个开放源码的网页服务器,世界使用排名第一,适合大型网站 相关漏洞:日志文件漏洞、解析漏洞

Nginx:目前最热的中间件,静态页面性能远超Apache,高性能HTTP和反向代理服务器,也是一个IMAP、POP3、SMTP服务器 相关漏洞:整数溢出漏洞、解析漏洞

Tomcat:开源轻量web应用服务器,中小型系统和并发少的需求下用,开发和调试JSP程序的首选 相关漏洞:弱口令、远程代码执行、本地提权

Weblogic:java反序列化漏洞、SSRF服务器端请求伪造

Web安全现状分析

  1. Web已经在企业信息化、电子商务、电子政务中等得到广泛的应用, Web的迅速发展同时,也带来了众多的安全威胁。

  2. 网络攻击重心已转向应用层,Web已成为黑客首选攻击目标,针对Web的攻击和破坏不断增长,据高盛统

计数据表明,75%的攻击是针对Web应用的。

  1. 然而,对于Web应用安全领域,很多企业还没有充分的认识、没有做好准备;许多开发人员也没有相应的

经验,这给了黑客可乘之机。

Web常见架构组合

  • LAMP:Linux+Apache+Mysql+PHP;适用于大型网站架构、稳定性高、常见于企业网站

  • WAMP:Windows+Apache+Mysql+PHP;适用于中小型网站架构,易管理,常见于教育机构、事业单位

  • 其他组合还有:PHP+IIS;ASP+IIS;.NET+IIS;JSP+Tomcat

常见Web攻击动机

  • 恶作剧;

  • 关闭站点拒绝服务;

  • 篡改网页内容;

  • 免费浏览收费内容;

  • 盗窃用户隐私信息;

  • 身份伪造登录;

  • 网页挂马等


web服务组件思维导图

所有知识为个人学习笔记总结,仅供参考



如果想要系统学习网络安全技术
不妨加入知识星球课程
《60天入门网络安全渗透测试
从入门到案例,贴合实战
轻松易懂、好玩实用


跟着60天路线一起学,期待你的到来!


更多内容请gongzhong号
网络安全自修室

点个在看你最好看

相关资源