web安全基础名词概念

本节内容根据小迪安全讲解制作

第一天

域名:

1.1什么是域名?

网域名称(英语:Domain Name,简称:Domain),简称域名、网域,是由一串用点分隔的字符组成的互联网上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位。

1.2什么是二级域名,多级域名? 

二级域名,通常指的是在顶级域名下面再划分的一个域名层次。它的形式通常是“子域名.顶级域名”。比如,在域名“www.example.com”中,“www”就是二级域名,而“example.com”是顶级域名。多级域名,则是指在顶级域名下,有多个层次的子域名。它的形式通常是“子域名1.子域名2.顶级域名”。例如,“sub1.sub2.example.com”就是一个多级域名。

 1.3域名发现对于安全测试的意义?

可以给安全测试提供更多的测试点,方便获取更多相关信息,当主站没有突破口时,可以从多级域名的分站尝试

DNS(域名服务器):

2.1什么是DNS?

DNS,Domain Name System,是互联网的核心服务之一,它作为一个分布式数据库,负责将人类可读的域名(如baidu.com)转换为计算机可以直接理解和定位的IP地址。这个转换过程是互联网能够正常运作的基础,使得用户无需记住复杂的数字IP地址,而是通过简单的域名来访问网站。DNS系统由域名服务器和域名解析器组成,其中域名服务器保存有网络中所有主机的域名和对应的IP地址信息,而域名解析器则负责将用户输入的域名解析为对应的IP地址。

总的来说就是:将域名转换为对应的ip地址

可以直接在命令行中通过ping命令,获取对应域名的IP地址

DNS解析顺序:【浏览器的缓存】=》本地操作系统缓存=》DNS服务器(路由缓存=》互联网缓存服务器)

2.2本地hosts文件和DNS关系?

hosts就是系统的一个配置文件,主要配置ip和域名的映射关系,相当于是本地的DNS服务器。

电脑位置:c:\windows\system32\drivers\etc\hosts

2.3CDN是什么

CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输得更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。

2.4CDN与DNS的关系

DNS和CDN的关系体现在:DNS解析是用户访问网站的基础步骤,而CDN则通过缓存和分发内容,进一步优化了这一过程。使用CDN缓存后,网站的访问过程会有所变化。浏览器调用域名解析库对域名进行解析时,由于CDN对域名解析过程进行了调整,所以解析函数库一般得到的是该域名对应的CNAME记录。为了得到实际IP地址,浏览器需要再次对获得的CNAME域名进行解析以得到实际的IP地址。此次解析得到CDN缓存服务器的IP地址,浏览器在得到实际的IP地址以后,向缓存服务器发出访问请求。缓存服务器根据浏览器提供的要访问的域名,通过Cache内部专用DNS解析得到此域名的实际IP地址,再由缓存服务器向此实际IP地址提交访问请求。缓存服务器从实际IP地址得到内容以后,一方面在本地进行保存,以备以后使用;另一方面把获取的数据返回给客户端,完成数据服务过程。

综上所述,DNS负责将域名解析为IP地址,而CDN则通过其全球负载均衡和缓存技术,进一步优化了内容的传输和分发过程,两者共同作用,显著提升了网站的访问速度和用户体验。

2.5常见的DNS安全攻击有哪些?

常见的DNS攻击方式包括DNS隧道攻击、DNS缓存投毒攻击、分布式反射拒绝服务攻击(DRDoS)、DNS劫持、DNS放大攻击等。

脚本语言

3.1常见的脚本语言类型有哪些?

这些都是文件后缀名:asp ,php, aspx, jsp, javaweb ,pl ,py, cgi

3.2漏洞挖掘代码审计与脚本类型的关系?

但是不同的程序的源码,偏重性也会不一样,比如php适合小中型网站的开发,java则适合大中型网站的开发。所以,做网络测试,需要对这些代码有所了解,了解其内置功能、内置架构等。不求深度掌握,但是至少要略知一二,看得懂代码。

后门

4.1什么是后门?有哪些后门?

后门是种植者非法入侵服务器拿到权限以后,留下的一个后门文件,使种植者在系统中不易被发现,方便下次再对目标服务器进行操作(远程操控)。如果不修补后门,系统管理员无法阻止种植者再次进入系统

常见的有:网站后门(web shell)、服务器后门、计算机后门等。

4.2后门在安全测试中的实际意义?

一、方便下次更方便的进入服务器,使种植者进入系统花最少时间。

二、为种植者提供一个通道,方便种植者拿到权限,对服务器内容做更改。

4.3关于后门需要了解哪些?(玩法,免杀)

后门玩法:方便种植者更好的控制服务器,隐藏自己,不易被发现。

免杀 : 防止后门被杀毒软件等检测到,将后门伪装成一个正常的文件。

WEB

5.1WEB的组成构架模型?

  • 网站源码:分脚本类型,分应用类型
  • 操作系统:windows,linu
  • 中间件(搭建平台):apache,iis,tomcat,nginx等,源码跟中间件就是水和杯子的关系,有了服务器,源码才能有用
  • 数据库:access mysql mssql oracl sybase postsql等

5.2为什么要从web层面为主为首? 

web适用面广,很多地方都用得到web服务。往往网站源码出现的漏洞比较多,可以在web上获取到一定的权限之后,再用web去进行权限提升,拿到某台主机、主机数据库的权限,再一步步深入内网、局域网,来获得到更多有价值的信息。

但如果从别的方面、例如直接从操作系统入手的话,就很难找到漏洞,操作系统的漏洞往往是非常少、非常难以发现,而且还会有补丁修复漏洞。而web网站源码是没有补丁的,从web入手进行攻击是比较现实的。

5.3WEB相关安全漏洞

  • WEB源码类对应漏洞
  • WEB中间件对应漏洞
  • WEB数据库对应漏洞
  • WEB系统类对应漏洞
  • 其他第三方对应漏洞
  • APP或PC应用结合类

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/41683.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

celery执行任务报错ValueError: not enough values to unpack

背景 在做用户注册模块的时候需要对手机号验证的过程进行优化,目前想到的方式是通过celeryrabbitmq的方式进行异步处理,选择使用celery是因为使用方便、性能好、可分布式部署。 环境信息 目前使用地win11容器化启动 rabbitmq:3.13.2 python:3.6.8 cel…

高薪程序员必修课-JVM创建对象时如何解决多线程内存抢占问题

前言 在JVM中,堆的内存分配过程涉及到线程安全性的保障,具体来说涉及到对象的内存分配时,并不是简单的抢占式分配,而是通过一些机制来保证线程安全和高效的内存管理。下面解释一下JVM是如何设计来保证线程安全的: 内存…

STA:延迟为什么会有负值?

我正在「拾陆楼」和朋友们讨论有趣的话题,你⼀起来吧? 拾陆楼知识星球入口 相关文章链接: STA:串扰延迟分析 STA:CRPR悲观路径移除 这个问题就是典型的SI问题,受SI影响,与hold 分析而言data…

Dify v0.6.9源码部署

一.前置条件 克隆Dify v0.6.9代码: git clone https://github.com/langgenius/dify.git在启用业务服务之前,需要先部署 PostgresSQL / Redis / Weaviate(如果本地没有的话),可以通过以下命令启动: cd do…

Data-Juicer:阿里巴巴荣誉出品的大模型数据清洗框架

Diffusion Models专栏文章汇总:入门与实战 前言:如何优雅地进行大规模数据清洗是一门艺术,特别对于大模型,数据的质量是决定模型成功最关键的因素之一。阿里巴巴最近开源了一项专门针对大语言模型和视频生成大模型的数据清洗框架&…

短信群发平台适用于哪些行业?

短信群发平台作为一种高效、快速且成本相对较低的通信方式,适用于多个行业。以下是一些主要适用行业的概述: 1. 零售与电商行业 应用场景:零售和电商企业可以利用短信群发进行新品推广、促销信息发布、订单状态更新、物流跟踪通知等。 2. 金…

redis并发、穿透、雪崩

Redis如何实现高并发 首先是单线程模型:redis采用单线程可以避免多线程下切换和竞争的开销,提高cpu的利用率,如果是多核cpu,可以部署多个redis实例。基于内存的数据存储:redis将数据存储在内存中,相比于硬…

【测试】系统压力测试报告模板(Word原件)

系统压力测试,简而言之,是在模拟高负载、高并发的环境下,对系统进行全面测试的过程。它旨在评估系统在面对极端使用条件时的性能表现,包括处理能力、响应时间、资源消耗及稳定性等关键指标。通过压力测试,开发团队能够…

上海-LM科技(面经)

上海-LM科技 hr电话面 个人简介 个人信息的询问 是否知道芋道框架 技术面 算法题 14. 最长公共前缀(写出来即可) 聊一下Docker Docker核心概念总结Docker实战 聊一下AOP Spring AOP详解 聊一下JWT JWT 基础概念详解JWT 身份认证优缺点分析 Spring…

代码随想录——单调递增的数字(Leetcode738)

题目链接 贪心 class Solution {public int monotoneIncreasingDigits(int n) {char[] digits String.valueOf(n).toCharArray();int flag digits.length;for (int i digits.length - 1; i > 0; i--) {if (digits[i] < digits[i - 1]) {flag i;digits[i - 1]--;}}…

玉石风能否接棒黏土风?一探AI绘画新风尚

在数字艺术的浪潮中,AI绘画平台以其独特的创造力和便捷性,正在逐步改变我们对艺术的传统认知。从黏土风的温暖质感到琉璃玉石的细腻光泽,每一次风格的转变都引领着新的潮流。今天,我们将聚焦玉石风,探讨它是否能成为下一个流行的艺术滤镜,并提供一种在线体验的方式,让你…

Python | Leetcode Python题解之第221题最大正方形

题目&#xff1a; 题解&#xff1a; class Solution:def maximalSquare(self, matrix: List[List[str]]) -> int:if len(matrix) 0 or len(matrix[0]) 0:return 0maxSide 0rows, columns len(matrix), len(matrix[0])dp [[0] * columns for _ in range(rows)]for i in…

Kafka(一)基础介绍

一&#xff0c;Kafka集群 一个典型的 Kafka 体系架构包括若Producer、Broker、Consumer&#xff0c;以及一个ZooKeeper集群&#xff0c;如图所示。 ZooKeeper&#xff1a;Kafka负责集群元数据的管理、控制器的选举等操作的&#xff1b; Producer&#xff1a;将消息发送到Broker…

[AI 大模型] OpenAI ChatGPT

文章目录 ChatGPT 简介ChatGPT 的模型架构ChatGPT的发展历史节点爆发元年AI伦理和安全 ChatGPT 新技术1. 技术进步2. 应用领域3. 代码示例4. 对话示例 ChatGPT 简介 ChatGPT 是由 OpenAI 开发的一个大型语言模型&#xff0c;基于GPT-4架构。它能够理解和生成自然语言文本&…

学习笔记——动态路由——OSPF(特殊区域)

十、OSPF特殊区域 1、技术背景 早期路由器靠CPU计算转发&#xff0c;由于硬件技术限制问题&#xff0c;因此资源不是特别充足&#xff0c;因此是要节省资源使用&#xff0c;规划是非常必要的。 OSPF路由器需要同时维护域内路由、域间路由、外部路由信息数据库。当网络规模不…

电脑会议录音转文字工具哪个好?5个转文字工具简化工作流程

在如今忙碌的生活中&#xff0c;我们常常需要记录和回顾重要的对话和讨论。手写笔记可能跟不上速度&#xff0c;而录音则以其便捷性成为了捕捉信息的有力工具。但录音文件的后续处理&#xff0c;往往让人头疼不已。想象一下&#xff0c;如果能够瞬间将这些声音转化为文字&#…

iptables实现端口转发ssh

iptables实现端口转发 实现使用防火墙9898端口访问内网front主机的22端口&#xff08;ssh连接&#xff09; 1. 防火墙配置(lb01) # 配置iptables # 这条命令的作用是将所有目的地为192.168.100.155且目标端口为19898的TCP数据包的目标IP地址改为10.0.0.148&#xff0c;并将目标…

无向图中寻找指定路径:深度优先遍历算法

刷题记录 1. 节点依赖 背景: 类似于无向图中, 寻找从 起始节点 --> 目标节点 的 线路. 需求: 现在需要从 起始节点 A, 找到所有到 终点 H 的所有路径 A – B &#xff1a; 路径由一个对象构成 public class NodeAssociation {private String leftNodeName;private Stri…

Python 爬虫 tiktok关键词搜索用户数据信息 api接口

Tiktok APP API接口 Python 爬虫采集Tiktok数据 采集结果页面如下图&#xff1a; https://www.tiktok.com/search?qwwe&t1706679918408 请求API http://api.xxx.com/tt/search/user?keywordwwe&count10&offset0&tokentest 请求参数 返回示例 联系我们&…

178 折线图-柱形图-饼状图

1.折线图 1、QChart 类继承自 QGraphicsWidget&#xff0c;用于管理图表、图例和轴。2、QValueAxis 类专门用来自定义图表中 X 和 Y 坐标轴。3、QLineSeries 类专门用于折线图&#xff08;曲线&#xff09;的形式展示数据 //.pro QT core gui charts#ifndef WIDGET_H #defi…