构建Web内容的技术
HTML
HTML+CSS
动态HTML
动态HTML是通过调用客户端脚本语言javascript,实现对HTML的Web页面的动态改造。利用DOM(Document Object Model,文档对象模型)可指定欲发生动态变化的HTML元素
Web应用
Web应用是指通过Web功能提供的应用程序
CGI(Common Gateway Interface,通用网关接口)是指Web服务器在接收到客户端发送过来的请求后转发给程序的一组机制。在CGI的作用下,程序会对请求内容做出相应的动作,比如创建HTML等动态内容
使用CGI的程序叫做CGI程序,同时是用perl,php,Ruby和C等编程语言编写而成。
因Java而普及的Servlet
Servlet是一种能在服务器上创建动态内容的程序,Servlet是用Java语言实现的一个接口,属于面向企业级java的一部分
Servlet作为解决CGI问题的对抗技术,随java一起得到了普及
数据发布的格式及语言
可扩展标记语言XML
发布更新信息的RSS/Atom
RSS(简单信息聚合)和Atom都是发布新闻或博客日志等更新信息文档的格式的总称,两者都用的XML格式
轻量级数据标记语言JSON
JSON一种轻量级的数据标记语言,能够处理的null/布尔/数组/数字/字符串/对象这几种类型
Web的攻击技术
针对Web的攻击技术
针对Web应用的攻击模式
对web应用的攻击模式有以下两种:
- 主动攻击
主动攻击里最具有代表性的攻击是SQL注入攻击和OS命令注入攻击 - 被动攻击
被动攻击模式中最具有代表性的攻击是跨站脚本攻击和跨站点请求伪造
因输出值转义不完全引发的安全漏洞
跨站脚本攻击
跨站脚本攻击XSS(Cross site scripting)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JS进行的一种攻击
跨站脚本攻击有可能造成以下影响:
- 利用虚假输入表单骗取用户个人信息
- 利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求
- 显示伪造的文章或图片
SQL注入攻击
OS命令注入攻击
OS命令攻击是指通过Web应用中嵌入shell命令来调用操作系统命令
HTTP首部注入攻击
HTTP首部注入攻击是指攻击者通过在响应首部字段内插入换行,然后添加任意响应首部或主体的一种攻击
向首部主体添加内容的攻击称为HTTP响应截断攻击
目录遍历攻击
因设置或设计上的缺陷引发的安全漏洞
强制浏览
强制浏览安全漏洞是指从安置在Web服务器的公开目录下的文件中,浏览那些原本非资源公开的文件
不正确的错误消息处理
与Web应用有关的主要错误信息如下:
- Web应用抛出的错误信息
- 数据库等系统抛出的错误信息
此错误信息可能会给攻击者以提示
开放重定向
开放重定向是一种对指定的任意URL作重定向跳转的功能,有可能被攻击者使用,而诱导用户跳转到恶意网站
其他安全漏洞
会话劫持
密码破解
从加密过的数据中导出明文通常有以下几种方法
- 通过穷举法/字典攻击进行类推
- 彩虹表
彩虹表是由明文密码及与之对应的散列值构成的一张数据库表,是一种通过事先制作庞大的彩虹表,可在穷举法/字典攻击等实际破解过程中缩短消耗时间的技巧 - 拿到密钥
- 加密算法的漏洞
点击劫持
点击劫持是指里用透明的按钮或链接做成陷阱,覆盖在web页面上,以实现恶意的目的
Dos攻击
Dos(Denial of servie attack)是一种让运行呈现停止状态的攻击,也叫拒绝服务攻击
主要有以下两种Dos攻击方式:
- 几种利用访问请求造成资源过载,资源用尽的同时,实际上服务业就呈停止状态
- 通过攻击安全漏洞使服务停止
网友评论