Web开发语言
- PHP
- ASP
- .NET
- JSP
- ....
Web服务系统
- Windows代表:Windows2003,Windows2008常见漏洞:“永恒之蓝”(MS17-010),MS08-067(过时但很经典)
- Linux 代表:Ubuntu、CentOS、Redhat 常见漏洞:脏牛漏洞、sudo漏洞
Web数据库
- 数据库是按照数据结构来组织、存储、管理数据的“仓库”
- 结构化查询语言:简称SQL,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新、管理(增删改查)信息
- 典型代表:Mysql、MSSQL、Access、Oracle、Sqlite等
- 数据库管理软件:Phpmyadmin、Navicat(推荐)等
Web服务软件(又称中间件)
- Web服务器也称HTTP服务器,它是响应来自浏览器的HTTP请求,并发送网页文件/资源的软件
- 当访问者在浏览器的地址文本框输入一个URL(统一资源定位系统),或者单击某个链接,会生成一个网页请求
- 常见中间件:
IIS:Internet信息服务器,一款Windows自带的中间件。是微软提供的Internet服务器软件,包括Web、FTP、SMTP等服务器组件 相关漏洞:IIS短文件泄露、IIS解析漏洞
Apache:是Apache软件基金会的一个开放源码的网页服务器,世界使用排名第一,适合大型网站 相关漏洞:日志文件漏洞、解析漏洞
Nginx:目前最热的中间件,静态页面性能远超Apache,高性能HTTP和反向代理服务器,也是一个IMAP、POP3、SMTP服务器 相关漏洞:整数溢出漏洞、解析漏洞
Tomcat:开源轻量web应用服务器,中小型的系统和并发少的需求下用,开发和调试JSP程序的首选 相关漏洞:弱口令、远程代码执行、本地提权
Weblogic:java反序列化漏洞、SSRF服务器端请求伪造
Web安全现状分析
- Web已经在企业信息化、电子商务、电子政务中等得到广泛的应用, Web的迅速发展同时,也带来了众多的安全威胁。
- 网络攻击重心已转向应用层,Web已成为黑客首选攻击目标,针对Web的攻击和破坏不断增长,据高盛统
计数据表明,75%的攻击是针对Web应用的。
- 然而,对于Web应用安全领域,很多企业还没有充分的认识、没有做好准备;许多开发人员也没有相应的
经验,这给了黑客可乘之机。
Web常见架构组合
- LAMP:Linux Apache Mysql PHP;适用于大型网站架构、稳定性高、常见于企业网站
- WAMP:Windows Apache Mysql PHP;适用于中小型网站架构,易管理,常见于教育机构、事业单位
- 其他组合还有:PHP IIS;ASP IIS;.NET IIS;JSP Tomcat
常见Web攻击动机
- 恶作剧;
- 关闭站点拒绝服务;
- 篡改网页内容;
- 免费浏览收费内容;
- 盗窃用户隐私信息;
- 身份伪造登录;
- 网页挂马等
web服务组件思维导图
所有知识为个人学习笔记总结,仅供参考
