【渗透课程】前言-揭开Web渗透与安全的面纱(必看)
服务器是怎么被入侵的
攻击者想要对一台计算机渗透必须具备以下条件:
1、服务器与客户端能够正常通讯
(服务器是为客户端提供服务的)
2、服务器向客户端提供的权限(服务)或者说是端口。
服务端所提供的服务
早期的黑客入侵的方法大部分都是对服务器进行端口扫描,对数据库的爆破,以及对FTP的爆破(穷举)缓冲区溢出攻击的方式。尽管如此没有含量的渗透,在当时的100台计算机中,大约有20台计算机能中招。可见当初的web服务器很脆弱。
我为什么说这些呢,好,接着看。如今的web不仅仅是web,它还有个名字叫做 web应用程序 。为什么叫做web应用程序,因为web已经不是以前的web,它可以社交、购物、办公、游戏、公司管理、学校管理等等等等!从某种方面上来讲,它比客户端程序更方便,更出色,更完善。
了解web的基础知识
我们可以把html,asp,php等网页看做是一种程序(脚本语言),而他需要放在服务器的web容器(比如iis,Apache等)里才能编译成可视化内容。所以我们用户访问的网站都是经过容器编译过的。Web容器是基于系统的,它可以对计算机系统发出命令。Web容器又是处理网站脚本文件的,也就是说:我们是通过对脚本程序发出命令,再由Web容器处理,间接操纵服务器
怎么攻陷服务器
这张图是我在某群里下载的,个人感觉概括性很强,就用到这里来了。大家看的懂得就看得懂,看不懂的也没关系。但是以下内容必须看得懂:
想入侵一台服务器,大致分为3个入口:
1,C段攻击
2,services
3,社会工程学
C段攻击指的是攻击者通过渗透同一个网段内的一台主机对目标主机进行ARP等手段渗透
社会工程学:高端攻击必须掌握的一个技能,是属于脚本以外的社交欺骗技术,涉及到物理渗透, 总之就是—骗 。(后面详说)
至于services:又有很多入口(溢出、MySQL、FTP、mssql、rdp、web等等),这里的Web指的是网站脚本程序,也存在入口(注入,上传漏洞,xss,包含漏洞,代码执行,逻辑漏洞等等等等)
差不多我要讲课的大半部分内容都围绕着以上的知识点。特别是services
【渗透课程】前言-揭开Web渗透与安全的面纱(必看)的更多相关文章
- Web.config配置文件详解(新手必看)(转)
转于:http://www.cnblogs.com/gaoweipeng/archive/2009/05/17/1458762.html <?xml version="1.0" ...
- [转]Web.config配置文件详解(新手必看)
本文转自:http://www.cnblogs.com/gaoweipeng/archive/2009/05/17/1458762.html 花了点时间整理了一下ASP.NET Web.config配 ...
- 转:Web.config配置文件详解(新手必看)
转:http://www.cnblogs.com/gaoweipeng/archive/2009/05/17/1458762.html 花了点时间整理了一下ASP.NET Web.config配置文件 ...
- Web.config配置文件详解(新手必看)
花了点时间整理了一下ASP.NET Web.config配置文件的基本使用方法.很适合新手参看,由于Web.config在使用很灵活,可以自定义一些节点.所以这里只介绍一些比较常用的节点. <? ...
- (转)Web.config配置文件详解(新手必看)
花了点时间整理了一下ASP.NET Web.config配置文件的基本使用方法.很适合新手参看,由于Web.config在使用很灵活,可以自定义一些节点.所以这里只介绍一些比较常用的节点. <? ...
- (纯干货)最新WEB前端学习路线汇总初学者必看
Web前端好学吗?这是很多web学习者常问的问题,想要学习一门自己从未接触过的领域,事先有些了解并知道要学的内容,对接下来的学习会有事半功倍的效果.在当下来说web前端开发工程师可谓是高福利.高薪水的 ...
- Web.config配置文件详解(新手必看) (转载)
原文地址:http://www.cnblogs.com/gaoweipeng/archive/2009/05/17/1458762.html <?xmlversion="1.0&quo ...
- Web.config配置文件详解(新手必看) 【转】
来源 :http://www.cnblogs.com/gaoweipeng/archive/2009/05/17/1458762.html 花了点时间整理了一下ASP.NET Web.config配置 ...
- 初期web渗透的学习路线
成长路线 信息安全 前端安全 web安全 基础,书籍推荐 <网站入侵与脚本攻防修炼> 什么是web漏洞 什么是sql注入漏洞 什么是数据库 什么是文件上传漏洞 什么是跨站脚本攻击 < ...
随机推荐
- pb日志查看记录
因为日志的种类比较多,这里记录下来,方便查看! 1 pb下发日志查看 目前已经确定220-224 603都是这么查看的.手工下发的业务应该都是这么查看的,其实只要去确定步骤2中的序号,就可以直接进入步 ...
- 【JAVASCRIPT】React入门学习-文本渲染
摘要 react 学习包括几个部分: 文本渲染 JSX 语法 组件化思想 数据流 文本渲染 1. 纯文本渲染 <!DOCTYPE html> <html> <head&g ...
- 【JAVASCRIPT】React 学习 - 登录实战
摘要 实现一个登录的react 组件, 包含组件更新.ajax 交互.渲染新组建. 代码 <head> <meta charset="utf-8"> < ...
- 学生成绩管理系统——C语言实现
一.功能实现: 0.浏览学生信息 1.输入学生信息 2.增加学生信息 3.修改学生信息 4.删除学生信息 5.按学号查询 6.按班级查询 7.按姓名查询 8.按课堂名称查询 9.按总分高低排序 10. ...
- C++ 之 Asio 库
1 简介 Asio 是一个跨平台的 C++ 库,常用于网络编程.底层的 I/O 编程等 (low-level I/O),其结构框架如下: 2 使用 Asio 2.1 下载 Asio 可分为 ...
- python爬取百度搜索结果ur汇总
写了两篇之后,我觉得关于爬虫,重点还是分析过程 分析些什么呢: 1)首先明确自己要爬取的目标 比如这次我们需要爬取的是使用百度搜索之后所有出来的url结果 2)分析手动进行的获取目标的过程,以便以程序 ...
- annotation-config, annotation-driven, compont-scan 区别
<annotaion-driven/>标签: 这个标签对应的实现类是org.springframework.web.servlet.config.AnnotationDrivenBeanD ...
- 如何使用MVP+Dagger2+RxJava+Retrofit开发(1)
概述 在2016年5,6月份开始在知乎上看到开发方法,那时候记得是看mvc,mvp,mvvm这三种开发模式区别,后面进一步了解到google在github上开源了使用这3种模式进行Android开发的 ...
- LFLiveKit架构简介
LFLiveSession LFLiveSession 是整个sdk的核心,提供对外部的主要接口.主要功能有:管理推流开关.管理音视频录制及渲染.管理录制渲染后的音视频编码.管理编码后的数据上传.管理 ...
- c++STL(栈、队列)
栈stack -先入后出FILO 栈可以理解为一个坑,先掉坑里的被压在下面,等上面的走了才能出来 头文件 <stack> 入栈 push(某东西); 栈顶元素出栈 pop(); 是否为空 ...