一、 网络安全基础入门-概念名词
目录
网络安全学习(2022.10.23)
一、基础入门——概念名词
DNS
脚本语言
后门(2022.11.06)
WEB
WEB相关安全漏洞
演示案例
网络安全学习(2022.10.23)
一、基础入门——概念名词
查询网站: (ip查询 查ip 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名)
DNS
什么是域名?
就是网的一个地址,域名需要在专门的域名的注册商注册,比如万网,现在被阿里云收购。
什么是二级域名和多级域名?
www.是一个顶级域名,前面不是www.的是二级域名,前面有多个的是多级域名。
什么是DNS?
就是域名系统,主要用于域名和ip地址的相互转换。
DNS解析缓存的刷新命令:ipconfig/flushdns
本地HOSTS与DNS的关系?
HOSTS:存储在本地,包括主机名和IP地址的对应关系;
(域名是相对于网站来说的,IP是相对于网络来说的)
当输入域名时,首先找的不是DNS服务器,而是先找本地的HOSTS文件(C:\Windows\System32\drivers\etc\hosts)查看有无对应关系,如果有,就直接使用;没有,就是去找DNS服务器。
举个例子:当我在hosts文件修改百度对应的IP地址(1.1.1.1 baidu.com),搜索www.baidu.com,根据访问顺序,先访问本地hosts文件,根据域名对应到我随便写的ip,自然百度也就打不开了。
CDN是什么?
内容分发网络,也就是一个缓存结点技术,为了解决一些速度问题。超级ping
CDN与DNS的关系?
CDN主要看地点,就近给一个节点,近一点速度快;
常见的DNS安全攻击有哪些?
被恶意解析
脚本语言
常见的脚本语言类型有哪些?
asp、php、python、javaweb、pl、py、cgi、jsp等
不同脚本类型与安全漏洞的关系?
难上手的语言,他的规矩多,代码比较规范严谨,不容易出现漏洞,用不同的语言对应的漏洞安全也不同,发现漏洞的几率也不一样
漏洞挖掘代码审计与脚本类型的关系?
java一般多用于大型项目,php用于小型项目,如果想走这个方向,肯定需要对各种类型的语言都有一定的了解
后门(2022.11.06)
什么是后门?有哪些后门?
是一个系统的作者故意留下的、只有作者自己知道的机关
后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。类别:网页、线程插入、扩展、C/S后门
后门在安全测试中的实际意义?
为了下次更方便的进来;在获取到相关权限的时候,相当于一个管道
关于后门需要了解哪些?(玩法,免杀)
玩法:用网站的后门来干各种各样的事情,为了更好的控制
免杀:就是防止后门被检测到,识别到
WEB
WEB的组成架构?
网站源码:分脚本类型、分应用方向
操作系统:windows、linux
中间件(搭建平台):apache、iis、tomcat、nginx等
数据库:access、mysql、mssql、oracle、sybase、db2、postsql等
架构漏洞安全测试简要介绍?
今后的攻击漏洞和攻击方法都围绕这四方面
为什么要从WEB层面为主为首?
使用人多,源码多,从WEB提权,拿到服务器及其内网
WEB相关安全漏洞
WEB源码类对应漏洞?
SQL注入、文件上传、xss、代码执行、变量覆盖、逻辑漏洞、反序列化等
WEB中间件对应漏洞?
未授权访问
WEB数据库对应漏洞?
弱口令,内核漏洞
WEB系统层对应漏洞?
提权漏洞,安全代码执行
其他三方对应漏洞?
第三方软件有对应漏洞会影响到自己电脑
App或pc应用结合?
移动端,PC端,网页端
演示案例
多级域名的枚举查找(原理、方式):
比如要查youku.com上面的服务器有哪些,直接百度搜youku.com,可以看到很多youku.com的相关内容,这种就是利用搜索引擎来查找
可以通过查找域名的A记录、MX记录、CNAME记录和NS记录来判断这个域名有没有被使用过,可能就是对应的 一个网站
DNS解析修改后分析(本地或服务)
EXE后门功能及危害及类似WEB后门
APP类结合WEB协议,PC类结合WEB协议
一、 网络安全基础入门-概念名词相关推荐
- 渗透测试基础入门-概念名词
概念名词 域名 DNS 脚本语言 后门 WEB WEB相关安全漏洞 演示案例 涉及资源 域名 什么是域名? 又称网域,是由一串用点分隔的名字组成的internet上某个计算机或计算机组的名称,用于在数 ...
- 第1天:基础入门-概念名词
前言 如有不妥之处,还望指正. 目录 前言 1.域名 1.1 什么是域名? 1.2 域名在哪里注册? 1.3 什么是顶级域名.二级域名.多级域名和子域名? 1.4 域名发现对于安全测试的意义 2.DN ...
- Day01:基础入门-概念名词
1.域名 比如:www.aishang.com 域名种类: 顶级域名: 无赞助:.biz .com .edu .gov .info .int .mil .name .net .org .pro .xy ...
- 渗透测试-基础入门-概念名词_1
以下内容都是在小迪网课中学到的,写的不好,请多多指教 一.域名 1. 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的internet上某一台计算机或计算机组的 ...
- WEB安全基础入门-概念名词
本文章主要对WEB安全的基本入门做一个系统的概述及基本认识! 1.域名 域名即与IP地址一一对应的名称,网上有多个注册域名的网站如万网注册域名. 在域名中www.为顶级域名,其后为多级域名,在WEB安 ...
- CCNA-第一篇-基础入门概念
** 基础入门概念 **前言 没有什么学习是简单的.任何东西,包括你打游戏(除非是弱智的单机游戏)搞IT,一个月熬熬夜 月薪过X-W的大有人在,早9晚5一个月3K,自己选择.所以看你怎么学,每个人都很 ...
- 思科ccna认证技术之网络安全基础入门CCNA 1.0 网络硬件防火墙技术解析-ielab
思科ccna认证技术之网络安全基础入门CCNA 1.0 网络硬件防火墙技术解析-ielab防火墙技术,最初是针对 Internet 网络不安全因素所采取的一种保护措施.顾名思义,防火墙就是用来阻挡外部 ...
- Web网络安全基础入门总笔记
一.网站 Web全称:World Wide Wed(全国广域网). Web应用:通过浏览器访问得各类网站就叫做Web应用. Web安全:Web应用上面出现的一些漏洞. 集成环境:将容器和数据库与脚本自 ...
- linux基础入门概念
Linux哲学思想 1.一切皆为文件 几乎把所有的资源,包括硬件设备都组织为文件格式 2.又从多单一的小程序组成:一个程序只是实现一个功能,而且要做好: 因此要完成多个功能:组合小程序完成复杂任务 3 ...
最新文章
- 霍尔传感器测量转向的方法
- 全球海拔最高的国际级数据中心竣工,西藏有了大数据存储中心
- JS中生成8位的随机数字
- E打开https网站时,提示此网站的安全证书有问题(证书无效)
- cassandra使用心得_避免在Cassandra中使用清单
- 190317每日一句
- 干货分享好用的绘图工具
- 记录日常收支,查看每个账户收支明细
- 分布式定时任务框架说明
- 神舟I号可能遇到的问题及解…
- 中链云 | IPFS入门知识(五)
- javascript_day03------js学习第三天,关于简易计算器的加减乘除,对于年份判断和日期天数计算,以及if和switch的区分用法,最后是循环。
- 初学AI(ML、DL、TensorFlow)与python、OpenCV的一些体会
- 因果推理(三):关联和因果在因果图中的流动
- 虽败犹荣的McCain
- yolov5负样本构造:标注区域内随机裁剪等大子区域
- python 学习指南_Python类型检查终极指南
- 实时输出前端源代码,折腾大半年的开源项目sparrow-js
- 2022全新Ripro日主题V9.0升级修正版源码+美化包和插件
- 微信小程序视频无缝衔接