Fork me on GitHub

网站安全(学习)

记录

一、安全基础知识

1.1、安全

  • 网站安全的重要性
  • 基本的安全属性
  • 网站入侵的攻击方法和原理
  • Web安全的防御思路

1.2、网站安全的主要应用场合

  • 电子商务
  • 电子政务
  • 票务系统
  • 公司内部系统

1.3、几种常见的安全问题

  • 拒绝服务(Dos-Denial of service) 现象:大规模无效访问,造成网络堵塞,用户无法访问
  • 非法登录 现象:获得网站用户的密码,在网站上随意更改内容
  • 数据库级别 现象:任意改变数据库数据,出售数据库数据
  • 获得网站管理员权限 现象:网站管理混乱,无基本防护

1.4、安全的基本属性

  • 机密性
  • 完整性
  • 可用性
  • 可靠性
  • 不可否认性

二、网站入侵的常用攻击方法和原理

2.1、暴力破解

攻击原理

攻击内容:各种登录密码。

利用工具反复性的试探攻击。

缩小海量级试探次数方法:字典档,规则破解

攻击方法:远程破解和本地文件破解

2.2 、SQL注入:

 攻击原理:

在Web表单或者查询字符串中输入特殊的SQL命令

实现欺骗服务器或者绕过登录验证

2.3 、上传漏洞

利用上传漏洞直接重到WEBSHELL

网站服务的安全漏洞:

  • 字符过滤不严格
  • 文件类型未检测
  • 上传未加权取

2.4 、XSS跨站攻击

XSS-Cross Site Scripting

攻击原理:

  • 恶意用户在网页中插入HTML或者JS脚本
  • 引诱用户击点击或者输入用户隐私数据
  • 黑客获取用户账号,Cookies等隐私数据

常见攻击方式:

  • js方式
  • iframe方式
  • Ajax方式

常见攻击方式:

  • 钓鱼邮件
  • 图片链接

2.5 、Cookies诈骗

原理:

  • Cookie是存放在客户端的用户数据
  • 黑客可以通过修改本地Cookie来冒充管理员或者用户

Cookie查看工具:桂林老兵等

2.6 、Dos攻击

 三、Web安全防御思路

posted @ 2015-02-22 17:25  森林森  阅读(300)  评论(0编辑  收藏  举报