【网络安全】Web安全学习-前言及先导

一、网络安全概述

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因遭到破坏、更改、泄露,系统能连续可靠的正常运行,网络服务不中断。简单来说。就是要保障我们的网络环境安全稳定,不被人破坏捣乱。

网络安全包含的范畴:

1.系统安全:这是保证信息处理和传输系统的安全,侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统的存储、处理和传输的消息造成破坏和损失。

2.网络的安全:网络上的系统信息的安全,包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计等。

3.信息传播的安全:即信息传播的后果的安全,包括信息过滤等,侧重于防止和控制由非法、有害信息进行传播所产生的后果。

4.信息内容安全:它侧重于保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。

网络安全的学习范畴:

1.网络的基础知识:了解网络的基本概念、协议和架构,比如TCP/IP协议、网络拓扑结构等。

2.计算机基础知识:理解计算机系统的工作原理,熟悉操作系统、硬件和软件的基本知识。

3.信息安全意识:提高对信息安全的认识,了解各类网络攻击的特点和危害。

4.密码学:学习密码学的基本原理和算法,如对称加密、非对称加密等。

5.网络攻击与防御技术:掌握不同类型的网络攻击技术,如入侵检测与防御、恶意软件防护等。

6.安全漏洞分析与修复:了解常见的网络安全漏洞和弱点,学习漏洞分析和修复的方法。

二、Web安全学习路线

##Web安全基础

···本阶段主要讲解Web安全领域下的必备基础知识与工具的使用

···包括网络协议、BurpSuite的使用、SRC挖掘等。

##业务逻辑漏洞

···本阶段主要讲解业内常见的业务逻辑漏洞,以及如何挖掘与利用业务系统逻辑漏洞

···包括URL跳转逻辑漏洞、信息轰炸漏洞、密码找回漏洞等,分析业务各类业务逻辑漏洞成因,以及挖掘与利用方法。

##SQL注入漏洞

···本阶段介绍MySQL数据库的应用与SQL注入实操,以及SqlMap应用

···了解数据库的用途与逻辑,以及Mysql数据库的使用,掌握SQL注入基础与SQL注入靶场的环境搭建,掌握SQL注入的各类注入方法,以及手动注入与自动化注入工具的实操。

##跨站脚本攻击漏洞

···本阶段讲解XSS漏洞原理、攻击手段、XSS漏洞利用方法、BeEF平台的使用,以及XSS漏洞修复手段

···掌握基本前段能力,了解软件前端的运行原理,掌握BeEF的XSS攻击应用、熟悉XSS的漏洞预防手段。

##跨站请求伪造漏洞

···本阶段主要讲解CSRF的成因、危害、攻击手段、漏洞利用、以及防御手段

···讲解CSRF的成因与危害,CSRF的攻击手段及应用,CSRF的防御手段讲解。

##服务器端请求伪造漏洞

···本阶段主要讲解SSRF漏洞的原理与发现,结合SSRF实现对内网敏感资源的获取,基于Redis实现反弹shell,以及SSRF的防御

···SSRF漏洞的基本概念讲解,敏感资源获取以及攻击Redis实现Shell反弹,SSRF常用防御手段讲解。

##漏洞挖掘技巧

···讲解漏洞挖掘的前期准备内容与流程,以及市场主流扫描器的部署、应用,以及漏洞扫描演练

···全面讲解SRC挖掘的前期的信息收集工作(包括IP信息、域名信息、网站信息等),便于后续的SRC的有效进行,讲解各类主流扫描器的应用(包括主动扫描器AWVS,被动扫描器Xray等)。

##文件包含漏洞

···本阶段讲解文件包含漏洞的原理、发现方法、利用手段、漏洞危害,以及主流的漏洞防御手段

···漏洞介绍,漏洞利用,漏洞修复,掌握文件包含漏洞的原理。

##文件上传漏洞

···本阶段主要讲解关于文件上传漏洞的成因、危害、各类检测绕过,以及基于WebShell+管理工具实现文件上传漏洞的攻击手段

···讲解WebShell的实现,以及基于WebShell管理工具的安装使用,讲解漏洞成因以及靶场的环境部署,讲解文件上传漏洞的主流防御机制。

##XML外部实体注入

···主要讲解XML的基本用法,XXE漏洞的探测手段、利用手段、以及常用的漏洞防御手段

···关于XML的基本用法,关于XXE漏洞的危害与探测,以及漏洞利用手段,漏洞的主流防御机制。

##中间件漏洞

···主要讲解中间件的基本概念,以及常用中间件的历史漏洞复现与利用

···中间件介绍,JBoss,Webblogic实现常用中间件的历史版本下的漏洞复现及利用。

##环境部署与主流工具应用

···主要讲解操作系统、基础工具和靶场的部署使用。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/20157.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vmware workstation 17.0.0 ubuntu删除快照导致无法启动的问题打不开磁盘xxxxxxx或它所依赖的某个快照磁盘

在使用vmware workstation的时候 在我删除多余的快照的时候,发现删除快照后打不开虚拟机了, 提示: 打不开此虚拟磁盘的父磁盘打不开磁盘“D:\Virtual Machines\Ubuntu 64 位\Ubuntu 64 位-000003.vmdk”或它所依赖的某个快照磁盘。模块“Dis…

docker 启动关闭,设置仓库地址

1. 配置/etc/docker/daemon.json cat /etc/docker/daemon.json# 内容 {"registry-mirrors": ["https://0nth4654.mirror.aliyuncs.com"],"insecure-registries": ["harbor.domain.io"] }2. 配置systemd启动文件 和方法1配置会有冲突&a…

一次滑稽的面试(鼎夏)

本文记述自己今天面试的经历,堪称滑天下之大稽 清晨起来打开窗,心情美美哒,boss上有个小姐姐给我推荐职位,把简历发送过后,小姐姐立即就给我安排了下午的面试,并且时间准确,我问的问题也及时回…

C语言 | Leetcode C语言题解之第124题二叉树中的最大路径和

题目: 题解: /*** Definition for a binary tree node.* struct TreeNode {* int val;* struct TreeNode *left;* struct TreeNode *right;* };*/ int max; int dfs(struct TreeNode* root){if(!root) return 0;int left dfs(root->left…

JS的基本内容

JS中的六中数据类型字符型,数值型,布尔型,Null,undefined和对象Object:符合数据类型,对象是属性和方法的集合甚至是另一种类型的对象。 基本数据类型:数值、字符串、null、undefined、布尔&…

基于Raspi的Opencv-Python开发笔记

本文所有未强调 “windows终端” 的 “终端”字眼,都是默认树莓派的终端 系统版本 系统版本有必要强调一下,因为不同版本很多操作需要修改 在终端输入uname -a Release就是版本号,Codename是版本名 以下操作仅在此版本验证可行 使能摄像…

WalleWeb简化你的DevOps部署流程

walle-web:简化部署流程,提升开发效率,Walle Web让DevOps触手可及 - 精选真开源,释放新价值。 概览 Walle Web是一个功能强大且免费开源的DevOps平台,旨在简化和自动化代码部署流程。它支持多种编程语言,包…

短剧系统源码:构建互动娱乐的新平台

随着数字媒体的兴起,短剧成为了一种新兴的娱乐形式,它以紧凑的叙事和快速的节奏迎合了现代观众的观看习惯。短剧系统源码的开发,为短剧内容的创作、传播和消费提供了一个全面的技术解决方案。本文将探讨短剧系统源码的关键组成部分及其功能。…

智慧园区整理技术方案(ppt,软件全套建设方案)

智慧园区管控平台整体技术方案 1.平台概述 2.公共安全 3.物业管理 4.综合管理 5.企业服务 平台规划,整理技术架构搭建,统一门户,lot物联平台,视频云管理平台,GIS服务平台,服务器架构,统一身份认…

23.Labview中的数值类型讨论 ---- 位(bit)、字节(byte)、I8、U8、单双精度、复数

hello,大家好,本篇向大家介绍一个最常用但最容易让人忽略和最容易犯错的知识:数值。 “数值” 这个概念在Labview中被涉及的还是很多的,几乎任何一个程序都无可避免的会用到,但我相信大家绝大多数人对数值这个概念应用…

简要分析学习spring内存马,劫持马

简要分析学习spring内存马,劫持马 本文主要是通过SpringMemShell这个工程,来对spring内存马进行演示,利用。 写在前面: 参考的是大佬给的流程以及思路,其中的解释与分析非常详细 ----->>大佬的链接 这里的内存马文件取自gi…

第100+9步 ChatGPT文献复现:ARIMA预测百日咳

基于WIN10的64位系统演示 一、写在前面 我们来继续换一篇文章来学习学习: 《BMC Public Health》杂志的2022年一篇题目为《ARIMA and ARIMA-ERNN models for prediction of pertussis incidence in mainland China from 2004 to 2021》文章的模拟数据做案例。 这…

hadoop(1)--hdfs部署(亲测可用)

一、准备: 1、三台集群部署,配置hosts #cat /etc/hosts 192.168.46.128 node1 #nameNode dataNode secondaryNameNode 192.168.46.129 node2 #datanode 192.168.46.130 node3 #datanode说明: NameNode: 主节点管理者 DataNode&…

LNMP部署及应用

目录 1.LNMP概述 Nginx 特点 Nginx 作用 2.分布式部署LNMP操练 Nginx主机:CentOS 7-1 PHP主机: CentOS 7-2 1.LNMP概述 Nginx 是开源、高性能、高可靠的 Web 和反向代理服务器,而且支持热部署,几乎可以做到 7 * 24 小时不间断运行&…

Kotlin 对象

文章目录 对象表达式(匿名对象)对象的声明 对象表达式(匿名对象) 在 Kotlin 中可以使用object {}声明一个匿名的对象,我们无需声明这个对象的类: fun main() {val any object {fun greet() print("…

C - Job Interview

思路: 先不考虑溢出,将nm1按照分配的工作分类 会发现,有且仅有一种工作的人数是溢出的,即超过了上限,记作工作1;且另一种工作的人数没有溢出,记作工作2 工作2因为没有溢出,不管没…

CPU/GPU/FPSGO,负载调试/设置命令开关

CPU/GPU/FPSGO,负载调试/设置命令开关 首先,进入: adb shell cat sys/kernel/ged/hal/gpu_utilization 查看GPU的负载情况。输出三个数字,第1个表示使用率,第3个表示空闲率。 echo 0 /sys/kernel/fpsgo/common/force…

Java中的网络编程:构建稳健的分布式应用

网络编程是Java开发中至关重要的一部分,特别是在构建分布式系统和网络应用程序时。Java提供了丰富的网络编程API和库,使开发者能够轻松创建各种网络应用。本文将介绍Java中的网络编程基础、常用的网络通信协议、以及如何利用Java构建稳健的分布式应用。 …

redis教程介绍以及要点和难点

Redis是一个开源的、内存中的数据结构存储系统,它可以用作数据库、缓存和消息代理。以下是关于Redis的详细概述: 定义 Redis,全称Remote Dictionary Server,是一个高性能的key-value数据库。 它支持多种数据结构,如string(字符串)、list(链表)、set(集合)、zset(…

Linux网络-使用Tcp协议进行网络通信并通过网络接口实现远端翻译

文章目录 Tcp协议Tcp协议常见API接口1. int socket(int domain, int type, int protocol);2. int bind(int socket, const struct sockaddr *address, socklen_t address_len);struct sockaddr 3. int listen(int socket, int backlog);4. int accept(int socket, struct socka…