web安全知识预备

web安全知识预备

一、前置技能

1. 操作系统

• Windows（了解DOS）
• Linux（重点学习对象）
• macOS（很少遇到，非重点，了解其文件系统即可）

2. 数据库

• SQL语言基础

3. HTTP协议

• HTTP工作原理
• HTTP请求方法
• HTTP状态码
• HTTP请求格式

附：https://www.cnblogs.com/an-wen/p/11180076.html

4. HTML/CSS/JavaScript

这部分属于前端设计内容，无需熟练掌握敲代码的能力，但要能明白各自代码的功能及作用。

如HTML标签对应页面上的哪些元素，CSS样式是干嘛的，JavaScript在前端是什么角色，起到什么样的作用？

5. 程序设计

• C语言基础
• Java语言基础
• PHP语言基础
• Python语言基础

二、web工具配置

1. 虚拟机

要求会使用VM虚拟机搭建靶场等环境以便模拟场景。

2. BurpSuite

一款WEB应用程序的集成攻击测试平台，要求重点掌握！

内置功能较多，重点需要学会使用proxy（代理截包）、Intruder（自动化攻击）、repeater（重新发包）、decoder（编码解码模块）

3. 菜刀类工具

• 中国菜刀（网上版本大都留有后门，不推荐在真机上实验）
• 中国蚁剑 （推荐）
• 冰蝎

4. 端口扫描

此类可使用的工具较多，其中需重点了解nmap的使用。

5. 目录爆破

• 御剑后台扫描工具（图形化界面，需要自带字典）
• dirsearch（命令界面）

三、攻击类型

1. SQL注入

• union注入攻击
• Boolean注入攻击
• 时间注入攻击
• 报错注入攻击
• 堆叠查询注入攻击
• 宽字节注入攻击

等等......

具体测试攻击的方法可以使用sqlilab实验

2. XSS（跨站脚本攻击）

目的：

• 窃取cookie，劫持会话
• 黑产（诱骗点击，网络钓鱼，木马挖矿）
• 服务端执行命令（内网扫描，篡改页面）

类型：

• 反射型（诱骗点击用户弹出自己cookie）
• 存储型（用户访问被植入的网站，如留言板）
• DOM型（document object model文档对象模型）

3. 文件上传漏洞

上传漏洞顾名思义，就是攻击者上传了一个可执行文件如木马，病毒，恶意脚本，WebShell等到服务器执行，并最终获得网站控制权限的高危漏洞。

4. 文件包含漏洞

如果允许客户端输入控制动态包含在服务器端的文件，会导致恶意代码的执行与敏感信息的泄露，主要包括本地文件包含和远程文件包含两种形式。

5. RCE（远程命令执行漏洞）

web应用程序有时需要调用一些系统命令的函数,如PHP中的system,exec,shell-exec等等,当用户能够控制这些函数中的参数时,就可以将恶意参系统命令拼接到正常命令中,从而造成命令注入攻击，造成：继承web应用程序的权限去执行系统命令读写执行文件、反弹shell、控制整个网站甚至整个服务器、进一步内网渗透等危害。

6. XEE注入

由于程序在解析输入的XML数据时，解析了攻击者伪造的外部实体而产生的。

7. SSRF（服务端请求伪造）

一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统。