网站安全（学习）

记录

一、安全基础知识

1.1、安全

网站安全的重要性

基本的安全属性

网站入侵的攻击方法和原理

Web安全的防御思路

1.2、网站安全的主要应用场合

电子商务

电子政务

票务系统

公司内部系统

1.3、几种常见的安全问题

拒绝服务（Dos-Denial of service） 现象:大规模无效访问，造成网络堵塞，用户无法访问

非法登录 现象:获得网站用户的密码，在网站上随意更改内容

数据库级别 现象：任意改变数据库数据，出售数据库数据

获得网站管理员权限 现象：网站管理混乱，无基本防护

1.4、安全的基本属性

机密性

完整性

可用性

可靠性

不可否认性

二、网站入侵的常用攻击方法和原理

2.1、暴力破解

攻击原理

攻击内容：各种登录密码。

利用工具反复性的试探攻击。

缩小海量级试探次数方法：字典档，规则破解

攻击方法:远程破解和本地文件破解

2.2 、SQL注入：

攻击原理：

在Web表单或者查询字符串中输入特殊的SQL命令

实现欺骗服务器或者绕过登录验证

[b]2.3 、上传漏洞[/b]

利用上传漏洞直接重到WEBSHELL

网站服务的安全漏洞：

字符过滤不严格

文件类型未检测

上传未加权取

[b]2.4 、XSS跨站攻击[/b]

XSS-Cross Site Scripting

攻击原理：

恶意用户在网页中插入HTML或者JS脚本

引诱用户击点击或者输入用户隐私数据

黑客获取用户账号，Cookies等隐私数据

常见攻击方式：

js方式

iframe方式

Ajax方式

常见攻击方式：

钓鱼邮件

图片链接

[b]2.5 、Cookies诈骗[/b]

原理：

Cookie是存放在客户端的用户数据

黑客可以通过修改本地Cookie来冒充管理员或者用户

Cookie查看工具：桂林老兵等

[b]2.6 、Dos攻击[/b]

三、Web安全防御思路