9、web安全综述

PT_silver2023-12-08 3:03

文章目录

    • 一、web核心组成
    • 二、web架构
      • [2.1 Web服务器](#2.1 Web服务器)
      • [2.2 Web容器](#2.2 Web容器)
      • [2.3 Web服务端语言](#2.3 Web服务端语言)
      • [2.4 web开发框架](#2.4 web开发框架)
      • [2.6 软件系统](#2.6 软件系统)
    • 三、常见web安全漏洞
      • [3.1 信息泄露](#3.1 信息泄露)
      • [3.2 目录遍历](#3.2 目录遍历)
      • [3.3 跨站脚本攻击(XSS)](#3.3 跨站脚本攻击(XSS))
      • [3.4 SQL注入漏洞](#3.4 SQL注入漏洞)
      • [3.5 文件上传漏洞](#3.5 文件上传漏洞)
      • [3.6 命令执行漏洞](#3.6 命令执行漏洞)
      • [3.7 文件包含漏洞](#3.7 文件包含漏洞)

一、web核心组成

  • URL(统一资源标识符):解决了文档的命名和寻址识别问题;
  • HTTP(超文本传输协议):解决了浏览器与服务器应用层之间的交流问题;
  • HTML(超文本标记语言):定义了超文本文档的表示;
  • 浏览器用于发起请求,并且解析文档;
  • 服务器用于保存文档。

二、web架构

2.1 Web服务器

(1)概念:对外提供静态页面web服务的软件系统。

(2)作用

  • 处理HTTP协议
  • 接收、处理、发送静态页面
  • 处理并发、负载均衡
    (3)web服务器举例:Apache、IIS、Nginx等。

2.2 Web容器

(1)概念:为了满足交互操作,获取动态结果,而提高的一些拓展机制能够让HTTP服务器调用服务端程序。

(2)作用:处理动态页面请求(解释器),如asp、jsp、php、cgi

(3)web容器举例:Tomcat、weblogic、Jboss、Webshere等。

2.3 Web服务端语言

(1)概念:用于提供Web页面的自定义功能,专业处理互联网通信,使用网页浏览器作为用户界面。

(2)作用:可以动态地编辑、修改或添加网页内容。可以对用户从HTML提交的查询或数据进行响应,访问数据或数据库,并将结果返回到浏览器。也可以访问文件或xml数据,并将结果返回到浏览器,把XML转换为HTML,并将结果返回到浏览器。还可以为不同的用户定制页面,提供页面的可用性,对不同的网页提供安全的访问机制,为不同类型的浏览器设计不同的输出等。

(3)常见的web服务端语言有:php,java,asp等。

2.4 web开发框架

(1)概念:类似于模板,用来支持动态网站、网络应用程序及网络服务的开发。

(2)作用:提高web开发效率,降低开发难度。

(3)常见的web开发框架有:php的thinkphp、java的Struts2和Spring等。

2.6 软件系统

(1)举例:CMS、BBS、blog、Wordpress等。

(2)与web开发框架的区别:框架就是将一些常用的操作封装起来,并结合一些设计模式,用来规范和简化程序员的开发流程;而cms等软件系统一般属于一个完整的系统,有页面、数据库,部署在站点上之后就能之间通过浏览器地址进行访问,可以基于框架开发。

三、常见web安全漏洞

3.1 信息泄露

(1)原理

信息泄露是由于web服务器或应用程序没有正确处理一些特殊请求,泄露web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。

(2)信息泄露的主要原因

  • web服务器配置存在问题,导致一些系统文件或配置文件暴露在互联网中;
  • web服务器本身存在漏洞,在浏览器中输入一些特殊的字符,可以访问未授权的文件或动态脚本文件源码;
  • web网站的程序编写存在问题,对用户提交的请求没有进行适当的过滤,直接使用用户提交上来的数据。

7、信息打点------资产泄露&CMS识别&Git监控&SVN&DS_Store&备份

3.2 目录遍历

(1)原理

目录遍历是一个web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。

(2)测试方法

3.3 跨站脚本攻击(XSS)

(1)原理

跨站脚本攻击(XSS),指攻击者通过在wen页面中写入恶意脚本,造成用户在浏览页面时,控制用户浏览器进行操作的攻击方式。

(2)类型

反射型XSS、存储型XSS、DOM型XSS

3.4 SQL注入漏洞

(1)原理

SQL注入漏洞,web系统对数据库访问语句过滤不严,入侵者在合法参数的位置,传入特殊的字符、命令,实现对后台数据库的入侵。

(2)主要分类

字符型和数字型

3.5 文件上传漏洞

(1)原理

文件上传漏洞,网站web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型时,就可以上传任意文件,甚至可执行文件后门。

(2)类型

根据网站使用及可解析的程序脚本不同,可以上传的恶意脚本可以是PHP、ASP、JSP、ASPX文件等。

3.6 命令执行漏洞

(1)原理

命令执行,应用程序有时需要调用一些执行系统命令的函数,而web开发语言中部分可以执行系统命令,如php中的system、exec、shell_exec等函数。

3.7 文件包含漏洞

(1)原理

文件包含,程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需在此编写,这种文件调用的过程一般称为文件包含。所有脚本语言都会提供文件包含的功能,但文件包含漏洞在PHP Web Application中居多,而在JSP、ASP、ASP.NET程序中却非常少,甚至没有。

(2)分类

本地文件包含和远程文件包含。

相关推荐
网络研究院6 小时前
Android 安卓内存安全漏洞数量大幅下降的原因
android·安全·编程·安卓·内存·漏洞·技术
l1x1n011 小时前
No.2 笔记 | 网络安全攻防:PC、CS工具与移动应用分析
安全·web安全
醉颜凉13 小时前
银河麒麟桌面操作系统V10 SP1:取消安装应用的安全授权认证
运维·安全·操作系统·国产化·麒麟·kylin os·安全授权认证
guanyue.space16 小时前
网站可疑问题
web安全
小小工匠17 小时前
Web安全 - 路径穿越(Path Traversal)
安全·web安全·路径穿越
不灭锦鲤19 小时前
ssrf学习(ctfhub靶场)
网络·学习·安全
鲨鱼辣椒丶D19 小时前
「漏洞复现」用友U8 CRM config/fillbacksettingedit.php SQL注入漏洞
web安全
网络研究院1 天前
如何安全地大规模部署 GenAI 应用程序
网络·人工智能·安全·ai·部署·观点
DonciSacer1 天前
TryHackMe 第6天 | Web Fundamentals (一)
安全
云卓科技1 天前
无人机之数据提取篇
科技·安全·机器人·无人机·制造
热门推荐
01【经验分享】Ubuntu22.04安装微信(linux官方版)02安卓系列机型永久去除data分区加密 详细步骤解析032024年高教社杯数学建模国赛C题超详细解题思路分析04CTF网络安全大赛简单的web抓包题目:HEADache05组基轨迹建模 GBTM的介绍与实现(Stata 或 R)06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07pve(Proxmox VE)安装i225v网卡驱动08苍穹外卖面试总结09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10RAG 实践- Ollama+RagFlow 部署本地知识库