20159320《网络攻防实践》第5周教材总结
web应用程序安全攻防
应用程序体系结构以及其安全威胁
1、三层架构:表示层、业务逻辑层和数据层
2、体系结构:浏览器、web服务器、web应用程序、数据库、传输协议HTTP/HTTPS
3、web应用安全威胁:针对浏览器和终端用户的web浏览安全、针对传输网络协议安全威胁、系统安全威胁、web应用程序安全威胁、web数据安全威胁。
web应用的安全攻防
web应用信息收集
1、手工审查web应用程序结构和源代码:静态和动态生成的页面、目录结构、辅助性文件、输入表单、查询参数字符串。
2、自动下载和镜像web站页面.
3、google hacking技术审查和探测web应用程序。
4、web应用程序安全评估与漏洞探测————辅助分析工具:浏览器插件、免费工具集、商业web应用安全评估系统和漏洞扫描器。
攻击web服务器软件
安全漏洞:数据驱动的远程代码执行安全漏洞、服务器功能扩展模块漏洞、样本文件安全漏洞、源代码泄漏、资源解析攻击
攻击web程序
web应用程序安全威胁:针对认证机制的攻击、授权机制、客户端攻击、命令执行攻击、信息暴露、逻辑攻击
攻击web数据内容
安全敏感数据泄漏、网站篡改、不良信息内容上传。
防范技术
1、web站点网络传输安全设防措施:HTTPS、加密的连接通道、静态绑定的MAC-TP映射。
2、web站点操作系统及服务安全设防措施:补丁更新、远程漏洞扫描、提升操作系统和服务安全性。
3、web应用程序安全设防措施。
4、web站点数据安全设防措施。
SQL注入
1、原理:向web应用提供的用户接口输入一段精心构造的SQL查询命令,攻击和利用不完善的输入机制,使得注入代码得以执行完成非预期的攻击操作行为。
2、步骤:发现SQL注入点、判断后台数据库类型、后台数据库中管理员用户口令字猜解、上传ASP后门、得到默认用户权限、利用数据库扩展存储过程执行shell命令
3、工具:wposion、wieliekoek.pl、SPItoolkit、HDSI等
4、防范措施:类型安全的参数编码机制、外部用户输入必须进行完备的安全检查、将动态SQL语句替换为存储过程,预编译SQL或ADO命令对象、加强SQL数据库服务器的配置和链接。
XSS攻击
1、攻击原理
2、工具类型:持久型、非持久型
3、测试和利用XSS漏洞步骤:测试XSS漏洞、显示用户会话cookie、窃取用户会话cookie、利用cookie信息假冒其他用户发表和修改帖子、编写实现XSS蠕虫。
4、防范措施:服务器端(输入验证、输出净化、消除危险输入点)、客户端(提升浏览器安全设置)
web浏览器安全攻防
web浏览器战争及技术发展
1、目前浏览器能理解和支持HTML和XHTML、CSS、ECMAScript以及W3C DOM。
2、安全问题和威胁:浏览器软件安全困境三要素(复杂性、可扩展性、连通性)、浏览安全威胁位置(网络协议、浏览端系统平台、浏览器软件以及插件程序的渗透攻击威胁、社会工程学)
网页木马
1、黑客地下经济链:病毒编写者、网络骇客、“信封”盗窃者、虚拟财产盗窃者、虚拟资产卖家、玩家。
2、网页木马:从根本上讲是针对web浏览端软件实施的客户端渗透攻击代码。
3、网络木马机理全方位分析与理解:被动式攻击、复杂、需要多种类型恶意代码和网络资源。
4、网页木马特性:多样化客户端渗透攻击位置和技术类型、分布式复杂的微观链接结构、灵活多变的混淆与对抗分析能力。
5、网络木马的核心————浏览器渗透攻击:例MS06-014漏洞以及ANI光标漏洞(堆内存操作技术)
6、网页挂马机制:内嵌HTML标签、恶意Script脚本、内嵌对象链接、ARP欺骗挂马。
7、混淆(免杀)机制:代码重新排版、大小写变换,十六进制编码等方式混淆、加密后解密方式、字符串运算,数学运算或者特殊函数混淆代码。
8、网页木马的检测和分析技术:基于特征码匹配的传统检测方法、基于统计与机器学习的静态分析方法、基于动态行为结果判定的检测方法、基于模拟浏览器环境的动态分析检测方法、网页木马检测分析技术综合对比。
9、防范措施:提升操作系统与浏览端平台软件安全性、安装和实时更新反病毒软件、安装Mac OS/Linux操作系统并使用冷门的浏览器
转载于:https://www.cnblogs.com/miaohj/p/5350878.html
20159320《网络攻防实践》第5周教材总结相关推荐
- 20159206 《网络攻防实践》第九周学习总结
20159206<网络攻防实践>第九周学习总结 教材学习内容总结 本周我们学习了教材的第九章和第十章. 第九章介绍了恶意代码安全攻防.首先教材介绍了恶意代码的基础知识,恶意代码指的是使计算 ...
- 20169214 2016-2017-2《网络攻防实践》第二周学习总结
20169214 2016-2017-2 <网络攻防实践>第二周学习总结 教材学习内容总结 第一章要点: 要点1:分清黑客与骇客,提倡在掌握技术的同时,还要遵循黑客道德与法律法规. 要点2 ...
- 20179214《网络攻防实践》第二周学习总结
20179214<网络攻防实践>第二周学习总结 a.对师生关系的理解 传统师生关系可能是教与学的关系,这种关系比较适合于大学一下的教学阶段,小学,初中,高中,在中国的大部分地区采用的多是这 ...
- 20189222 《网络攻防实践》第二周作业
20189222<网络攻防实践>第2周学习总结 教材学习内容总结 第一章: 要点1:分清黑客与骇客,提倡在掌握技术的同时,还要遵循黑客道德与法律法规. 要点2:网络攻防的主要内容包括系统安 ...
- 2017-2018-2 20179204《网络攻防实践》第二周学习总结
第1节 教材学习内容总结 本周学习了教材第一.二章的内容. 1.第一章 学习了一个典型案例--"黛蛇蠕虫"的发生过程.原理.应急处置和利用metasploit.虚拟蜜网等技术重现的 ...
- 《网络攻防实践》 第二周作业
kali 安装与配置 官网下载最新的kali64位镜像,照视频中步骤安装没有任何问题,甚至连视频中提到的一直回车选择默认选项会遇到的死循环也没有遇到. 不过有一点不知道是不是有些遗憾,kali网络设置 ...
- 20169218 2016-2017-2 《网络攻防实践》第二周学习总结
学习内容总结 教材的前两章对网络攻防进行了初步的介绍.第一章介绍了网络攻防的一些基础知识,第一章从"黛蛇蠕虫"的这个真实案例,我了解到了网络攻击的整个具体过程.首先是攻击目标主机, ...
- 20169220 网络攻防实践 第五周学习总结
教材内容总结 一.Web应用程序安全攻防 1.Web应用程序体系结构及其安全威胁 Web应用体系结构 浏览器 Web服务器 Web应用程序 数据库 传输协议HTTP/HTTPS Web应用安全威胁 针 ...
- 《网络攻防实践》第二周作业
一.黑客信息研究 国外黑客 凯文·米特尼克(Kevin Mitnick) 1.基本信息 国籍:美国 出生地:洛杉矶 出生日期:1963年8月6日 职业:网络安全咨询师 代表作:<反欺骗的艺术&g ...
- 《网络攻防实践》第二周学习总结
本周主要学习了<网络攻防技术与实践>第一部分概述,第一章主要是讲解了网络攻防的发展历程,首先是网络攻防的一件实际案例--黛蛇蠕虫, 该蠕虫通过微软MS05-051漏洞进行传播,主要影响Wi ...
最新文章
- Oracle Study之--ORA-12537(TNS:connection closed) 错误案例
- City of Angels
- 注解@Slf4j的使用
- 分布式与人工智能课程(part7)--两种绘图思路
- 【转】老男孩:Linux企业运维人员最常用150个命令汇总
- clientdataset 过滤 in_江门马弗过滤科技有限公司
- 小猴子蓝裤黄袄的局域网聊天
- 命令查看mysql端口映射_【转载】烂泥:如何利用telnet命令检测端口映射是否成功...
- ios微信下vue项目组件切换并自动播放音频的解决方案
- 占空比50%的5分频 记事续 20110920
- 巨人肩膀上的迁移学习(2)---图像回归
- vue中使用腾讯视频播放器
- 打开网站服务器显示403,打开网站显示403是什么意思
- 第19章 数据库备份与恢复
- OPC服务器软件介绍
- 离散数学与计算机专业的关系是什么,离散数学跟计算机专业有什么关系?
- python爬虫实训心得_python实训心得体会
- 语音助手——问答型助手架构和设计
- How to update BOL entity property value via ABAP code
- ASPX和Razor