网站安全（学习）

标签：

记录

一、安全基础知识

1.1、安全

• 网站安全的重要性
• 基本的安全属性
• 网站入侵的攻击方法和原理
• Web安全的防御思路

1.2、网站安全的主要应用场合

• 电子商务
• 电子政务
• 票务系统
• 公司内部系统

1.3、几种常见的安全问题

• 拒绝服务（Dos-Denial of service） 现象:大规模无效访问，造成网络堵塞，用户无法访问
• 非法登录 现象:获得网站用户的密码，在网站上随意更改内容
• 数据库级别 现象：任意改变数据库数据，出售数据库数据
• 获得网站管理员权限 现象：网站管理混乱，无基本防护

1.4、安全的基本属性

• 机密性
• 完整性
• 可用性
• 可靠性
• 不可否认性

二、网站入侵的常用攻击方法和原理

2.1、暴力破解

攻击原理

攻击内容：各种登录密码。

利用工具反复性的试探攻击。

缩小海量级试探次数方法：字典档，规则破解

攻击方法:远程破解和本地文件破解

2.2 、SQL注入：

 攻击原理：

在Web表单或者查询字符串中输入特殊的SQL命令

实现欺骗服务器或者绕过登录验证

2.3 、上传漏洞

利用上传漏洞直接重到WEBSHELL

网站服务的安全漏洞：

• 字符过滤不严格
• 文件类型未检测
• 上传未加权取

2.4 、XSS跨站攻击

XSS-Cross Site Scripting

攻击原理：

• 恶意用户在网页中插入HTML或者JS脚本
• 引诱用户击点击或者输入用户隐私数据
• 黑客获取用户账号，Cookies等隐私数据

常见攻击方式：

• js方式
• iframe方式
• Ajax方式

常见攻击方式：

• 钓鱼邮件
• 图片链接

2.5 、Cookies诈骗

原理：

• Cookie是存放在客户端的用户数据
• 黑客可以通过修改本地Cookie来冒充管理员或者用户

Cookie查看工具：桂林老兵等

2.6 、Dos攻击

 三、Web安全防御思路

网站安全（学习）

标签：

原文地址：http://www.cnblogs.com/liunanjava/p/4297538.html