Web For Pentester 阅读笔记(1)
来源:互联网 发布:电脑优化提速 编辑:程序博客网 时间:2024/06/15 01:14
The Web
网络应用程序是公司和研究机构在互联网上开放的最普遍的服务,而且,很多老的应用程序现在也已经有了网络版本。这些批量的改革使Web安全成为网络安全的一个重要部分。
Web 安全模型
最基本的Web安全模型是:不要相信客户端(传送的任何数据)。服务器端接受的大部分信息均可以被客户端伪造。安全第一,不要冒险;过滤任何数据比接受后发现不是用户控制端的数据要好很多。
Web 安全风险
Web应用程序具有应用程序的所有潜在风险:崩溃/信息泄露/信誉损坏/信息丢失/利益损失
Web 技术
架构
大多数Web应用程序依赖3个组件:
(1)客户端:大多数为Web浏览器
(2)从客户端接受请求的Web服务器端。如果可以唤起应用程序服务器处理请求,Web服务器仅将请求传送给应用程序服务器。
(3)返回和存取信息的存储后端:通常为数据库。
所有的组件可能有不同的行为,这些行为会受已存在且已爆出的漏洞的影响。所有的这些组件也可能表现出漏洞或者安全问题。
客户端技术
互联网用户通过浏览器(Chromium、Firefox、IE、Safari...)几乎天天使用大多数客户端技术:HTML、JavaScript、Flash...。然而,Web应用程序客户端也可以是臃肿的连接Web服务的客户端也可以仅是一个脚本。
服务器端技术
在服务器端有很多技术可以使用且对于Web问题都具有脆弱性,对于某个技术,通常会发生一些(固定的)问题。
服务器端可以划分为几个子类:
(1)Web服务器如Apache,lighttpd,Nginx,IIS...
(2)应用程序服务器如Tomcat,Jboss,Oracle Application Server...
(3)使用的程序语言:PHP,Java,Ruby,Python,ASP,C#,...程序语言也可以作为框架的一部分如Ruby-On-Rails,.Net MVC,Django.
存储后端
存储后端可以与Web服务器在一个服务器上,也可以在不同的服务器上。 这可以解释在利用相同漏洞时却表现出不同的行为的情况。
一些简单的后端的例子:
a、简单的文件
b、关系型数据库如Mysql、Oracle、SQL server、PostgreSQL..
c、其他数据库如MongoDB、CouchDB
d、目录存储如openLDAP或者Active Directory
一个应用程序可能使用多个存储后端。如一些应用程序使用LDAP存储用户和身份信息而使用Oracle存储信息。
- Web For Pentester 阅读笔记(1)
- Web for Pentester 阅读笔记(2)
- Web For Pentester 阅读笔记(3)
- Web for Pentester官网
- Pentester Lab学习计划之Web for Pentester II
- 渗透测试学习平台-web for pentester
- Web for Pentester XSS Example 01-09
- web for pentester XSS部分练习
- web for pentester 之xss 篇
- Web for Pentester II练习题解
- web for pentester XSS部分练习
- 阅读笔记:Detecting Near-Duplicates for Web Crawling
- 阅读笔记(1)
- <SLAM for Dummies>阅读笔记
- 阅读笔记:Building a Distributed Full-Text Index for the Web
- 论文阅读笔记-Siamese instance search for tracking(转)
- 《Nginx高性能Web服务器详解》阅读笔记1
- 分布式系统阅读笔记(九)-----Web Service服务
- leetcode——Longest Substring Without Repeating Characters 求链表中无重复字符的最大字串长度(AC)
- All in All
- POJ3254 Corn fiedls
- void用法的总结
- Unix调试的瑞士军刀:lsof
- Web For Pentester 阅读笔记(1)
- GIT远程中央版本库配置
- BF算法
- calculator
- linux新手学习笔记5
- poj 1284 Primitive Roots(欧拉函数,原根定理)
- 值得IT人员浏览的站点
- C++Primer Plus第六版答案4.13.7
- POJ 3278 Catch That Cow