構(gòu)建Web內(nèi)容的技術(shù)
HTML
HTML+CSS
動(dòng)態(tài)HTML
動(dòng)態(tài)HTML是通過調(diào)用客戶端腳本語言javascript,實(shí)現(xiàn)對(duì)HTML的Web頁面的動(dòng)態(tài)改造。利用DOM(Document Object Model,文檔對(duì)象模型)可指定欲發(fā)生動(dòng)態(tài)變化的HTML元素
Web應(yīng)用
Web應(yīng)用是指通過Web功能提供的應(yīng)用程序
CGI(Common Gateway Interface,通用網(wǎng)關(guān)接口)是指Web服務(wù)器在接收到客戶端發(fā)送過來的請(qǐng)求后轉(zhuǎn)發(fā)給程序的一組機(jī)制。在CGI的作用下,程序會(huì)對(duì)請(qǐng)求內(nèi)容做出相應(yīng)的動(dòng)作,比如創(chuàng)建HTML等動(dòng)態(tài)內(nèi)容
使用CGI的程序叫做CGI程序,同時(shí)是用perl,php,Ruby和C等編程語言編寫而成。
因Java而普及的Servlet
Servlet是一種能在服務(wù)器上創(chuàng)建動(dòng)態(tài)內(nèi)容的程序,Servlet是用Java語言實(shí)現(xiàn)的一個(gè)接口,屬于面向企業(yè)級(jí)java的一部分
Servlet作為解決CGI問題的對(duì)抗技術(shù),隨java一起得到了普及
數(shù)據(jù)發(fā)布的格式及語言
可擴(kuò)展標(biāo)記語言XML
發(fā)布更新信息的RSS/Atom
RSS(簡單信息聚合)和Atom都是發(fā)布新聞或博客日志等更新信息文檔的格式的總稱,兩者都用的XML格式
輕量級(jí)數(shù)據(jù)標(biāo)記語言JSON
JSON一種輕量級(jí)的數(shù)據(jù)標(biāo)記語言,能夠處理的null/布爾/數(shù)組/數(shù)字/字符串/對(duì)象這幾種類型
Web的攻擊技術(shù)
針對(duì)Web的攻擊技術(shù)
針對(duì)Web應(yīng)用的攻擊模式
對(duì)web應(yīng)用的攻擊模式有以下兩種:
- 主動(dòng)攻擊
主動(dòng)攻擊里最具有代表性的攻擊是SQL注入攻擊和OS命令注入攻擊 - 被動(dòng)攻擊
被動(dòng)攻擊模式中最具有代表性的攻擊是跨站腳本攻擊和跨站點(diǎn)請(qǐng)求偽造
因輸出值轉(zhuǎn)義不完全引發(fā)的安全漏洞
跨站腳本攻擊
跨站腳本攻擊XSS(Cross site scripting)是指通過存在安全漏洞的Web網(wǎng)站注冊(cè)用戶的瀏覽器內(nèi)運(yùn)行非法的HTML標(biāo)簽或JS進(jìn)行的一種攻擊
跨站腳本攻擊有可能造成以下影響:
- 利用虛假輸入表單騙取用戶個(gè)人信息
- 利用腳本竊取用戶的Cookie值,被害者在不知情的情況下,幫助攻擊者發(fā)送惡意請(qǐng)求
- 顯示偽造的文章或圖片
SQL注入攻擊
OS命令注入攻擊
OS命令攻擊是指通過Web應(yīng)用中嵌入shell命令來調(diào)用操作系統(tǒng)命令
HTTP首部注入攻擊
HTTP首部注入攻擊是指攻擊者通過在響應(yīng)首部字段內(nèi)插入換行,然后添加任意響應(yīng)首部或主體的一種攻擊
向首部主體添加內(nèi)容的攻擊稱為HTTP響應(yīng)截?cái)喙?/p>
目錄遍歷攻擊
因設(shè)置或設(shè)計(jì)上的缺陷引發(fā)的安全漏洞
強(qiáng)制瀏覽
強(qiáng)制瀏覽安全漏洞是指從安置在Web服務(wù)器的公開目錄下的文件中,瀏覽那些原本非資源公開的文件
不正確的錯(cuò)誤消息處理
與Web應(yīng)用有關(guān)的主要錯(cuò)誤信息如下:
- Web應(yīng)用拋出的錯(cuò)誤信息
- 數(shù)據(jù)庫等系統(tǒng)拋出的錯(cuò)誤信息
此錯(cuò)誤信息可能會(huì)給攻擊者以提示
開放重定向
開放重定向是一種對(duì)指定的任意URL作重定向跳轉(zhuǎn)的功能,有可能被攻擊者使用,而誘導(dǎo)用戶跳轉(zhuǎn)到惡意網(wǎng)站
其他安全漏洞
會(huì)話劫持
密碼破解
從加密過的數(shù)據(jù)中導(dǎo)出明文通常有以下幾種方法
- 通過窮舉法/字典攻擊進(jìn)行類推
- 彩虹表
彩虹表是由明文密碼及與之對(duì)應(yīng)的散列值構(gòu)成的一張數(shù)據(jù)庫表,是一種通過事先制作龐大的彩虹表,可在窮舉法/字典攻擊等實(shí)際破解過程中縮短消耗時(shí)間的技巧 - 拿到密鑰
- 加密算法的漏洞
點(diǎn)擊劫持
點(diǎn)擊劫持是指里用透明的按鈕或鏈接做成陷阱,覆蓋在web頁面上,以實(shí)現(xiàn)惡意的目的
Dos攻擊
Dos(Denial of servie attack)是一種讓運(yùn)行呈現(xiàn)停止?fàn)顟B(tài)的攻擊,也叫拒絕服務(wù)攻擊
主要有以下兩種Dos攻擊方式:
- 幾種利用訪問請(qǐng)求造成資源過載,資源用盡的同時(shí),實(shí)際上服務(wù)業(yè)就呈停止?fàn)顟B(tài)
- 通過攻擊安全漏洞使服務(wù)停止
