渗透学习日常笔记之安全见闻2

View安全见闻（2）

web渗透：专研python、php、java、攻防技术

软件程序代码：计算机程序

web程序

        前端-后端-数据库-服务器

前端url —> 请求后端执行 —> 后端登录 —> 调用数据库数据 —> 数据库放在服务器上

语言

        html：点击劫持

        css：

        javascr：xss dom型 反射型 存储型 点击劫持 请求走私

代码库

JQuery

BOOstrap

elementui

直接调用代码库，不要完整写全代码

框架

.vue

.react

.angular

前端（库、框架多）

潜在漏洞：信息泄露、xss、csrf、点击劫持、访问控制、web缓存漏洞、跨域漏洞、请求走私

后端（语言多）

潜在漏洞：信息泄露、xss、csrf、ssrf、反序列化漏洞、sql注入漏洞、服务端模板注入、

                  跨域漏洞、访问控制

数据库

潜在漏洞：sql注入、xss、命令注入

关系型数据库

.mysql

.sqlsever

.access

.postgresql

非关系型数据库

.mongodb

.couchdb

.neo4j

.redis

服务器程序

潜在漏洞：信息泄露、文件上传漏洞、文件解析漏洞、目录遍历、访问控制

.apache

.nginx

.iis

.tengine

.tomcat

.weblogic

总结：先学习python、html、JavaScript、mysql