网站安全(学习)
2015-02-22 17:25
176 查看
记录
基本的安全属性
网站入侵的攻击方法和原理
Web安全的防御思路
电子政务
票务系统
公司内部系统
非法登录 现象:获得网站用户的密码,在网站上随意更改内容
数据库级别 现象:任意改变数据库数据,出售数据库数据
获得网站管理员权限 现象:网站管理混乱,无基本防护
完整性
可用性
可靠性
不可否认性
攻击内容:各种登录密码。
利用工具反复性的试探攻击。
缩小海量级试探次数方法:字典档,规则破解
攻击方法:远程破解和本地文件破解
在Web表单或者查询字符串中输入特殊的SQL命令
实现欺骗服务器或者绕过登录验证
网站服务的安全漏洞:
字符过滤不严格
文件类型未检测
上传未加权取
攻击原理:
恶意用户在网页中插入HTML或者JS脚本
引诱用户击点击或者输入用户隐私数据
黑客获取用户账号,Cookies等隐私数据
常见攻击方式:
js方式
iframe方式
Ajax方式
常见攻击方式:
钓鱼邮件
图片链接
Cookie是存放在客户端的用户数据
黑客可以通过修改本地Cookie来冒充管理员或者用户
Cookie查看工具:桂林老兵等
一、安全基础知识
1.1、安全
网站安全的重要性基本的安全属性
网站入侵的攻击方法和原理
Web安全的防御思路
1.2、网站安全的主要应用场合
电子商务电子政务
票务系统
公司内部系统
1.3、几种常见的安全问题
拒绝服务(Dos-Denial of service) 现象:大规模无效访问,造成网络堵塞,用户无法访问非法登录 现象:获得网站用户的密码,在网站上随意更改内容
数据库级别 现象:任意改变数据库数据,出售数据库数据
获得网站管理员权限 现象:网站管理混乱,无基本防护
1.4、安全的基本属性
机密性完整性
可用性
可靠性
不可否认性
二、网站入侵的常用攻击方法和原理
2.1、暴力破解
攻击原理攻击内容:各种登录密码。
利用工具反复性的试探攻击。
缩小海量级试探次数方法:字典档,规则破解
攻击方法:远程破解和本地文件破解
2.2 、SQL注入:
攻击原理:在Web表单或者查询字符串中输入特殊的SQL命令
实现欺骗服务器或者绕过登录验证
[b]2.3 、上传漏洞[/b]
利用上传漏洞直接重到WEBSHELL网站服务的安全漏洞:
字符过滤不严格
文件类型未检测
上传未加权取
[b]2.4 、XSS跨站攻击[/b]
XSS-Cross Site Scripting攻击原理:
恶意用户在网页中插入HTML或者JS脚本
引诱用户击点击或者输入用户隐私数据
黑客获取用户账号,Cookies等隐私数据
常见攻击方式:
js方式
iframe方式
Ajax方式
常见攻击方式:
钓鱼邮件
图片链接
[b]2.5 、Cookies诈骗[/b]
原理:Cookie是存放在客户端的用户数据
黑客可以通过修改本地Cookie来冒充管理员或者用户
Cookie查看工具:桂林老兵等
[b]2.6 、Dos攻击[/b]
三、Web安全防御思路
相关文章推荐
- TheBeerHouse 网站项目学习笔记(4)----安全管理(下)
- NET温故而知新学习系列之网站安全技术—web.config加密和解密
- 学习-安全类网站
- django网站安全学习记录
- 学习笔记8:《大型网站技术架构 核心原理与案例分析》之 固若金汤:网站的安全架构
- 【安全牛学习笔记】MSsqlL注入取得网站路径最好的方法
- 个人总结-网络安全学习和CTF必不可少的一些网站
- 信息安全学习的网站
- Nginx 学习笔记(一)如何配置一个安全的HTTPS网站服务器
- 学习网络安全的网站
- 网站登录安全问题学习
- PHP程序员必须学习的第二课——网站安全问题预防
- 网络安全学习和CTF必不可少的一些网站
- ASP.NET温故而知新学习系列之网站安全技术—加强页面间传值的安全性Convert.ToBase64String(三)
- 一个好用的网络安全学习网站
- 成佩涛——几个适合企业安全学习的网站
- ASP.NET温故而知新学习系列之网站安全技术—预防脚本攻击(二)
- 网络安全学习和CTF必不可少的一些网站