Web服务组件简介

本文概述了Web服务组件,包括开发语言如PHP、ASP、.NET、JSP,服务系统如Windows、Linux,数据库如Mysql、Oracle,及中间件如IIS、Apache、Nginx、Tomcat。探讨了Web安全现状,常见的架构组合,以及攻击动机和OWASP Top 10威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Web服务组件

Web开发语言

  • PHP
  • ASP
  • .NET
  • JSP

Web服务系统

  1. Windows
    代表:Windows2003,Windows2008
    常见漏洞:“永恒之蓝”(MS17-010),MS08-067(过时但很经典)
  2. Linux
    代表:Ubuntu、CentOS、Redhat
    常见漏洞:脏牛漏洞、sudo漏洞

Web数据库

  • 数据库是按照数据结构来组织、存储、管理数据的“仓库”

  • 结构化查询语言:简称SQL,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新、管理(增删改查)信息

  • 典型代表:Mysql、MSSQL、Access、Oracle、Sqlite等

  • 数据库管理软件:Phpmyadmin、Navicat(推荐)等

Web服务软件(又称中间件)

  • Web服务器也称HTTP服务器,它是响应来自浏览器的HTTP请求,并发送网页文件/资源的软件
  • 当访问者在浏览器的地址文本框输入一个URL(统一资源定位系统),或者单击某个链接,会生成一个网页请求
  • 常见中间件:

IIS:Internet信息服务器,一款Windows自带的中间件。是微软提供的Internet服务器软件,包括Web、FTP、SMTP等服务器组件
相关漏洞:IIS短文件泄露、IIS解析漏洞

Apache:是Apache软件基金会的一个开放源码的网页服务器,世界使用排名第一,适合大型网站
相关漏洞:日志文件漏洞、解析漏洞

Nginx:目前最热的中间件,静态页面性能远超Apache,高性能HTTP和反向代理服务器,也是一个IMAP、POP3、SMTP服务器
相关漏洞:整数溢出漏洞、解析漏洞

Tomcat:开源轻量web应用服务器,中小型你系统和并发少的需求下用,开发和调试JSP程序的首选
相关漏洞:弱口令、远程代码执行、本地提权

Weblogic:java反序列化漏洞、SSRF服务器端请求伪造

Web安全现状分析

  1. Web已经在企业信息化、电子商务、电子政务中等得到广泛的应用, Web的迅速发展同时,也带来了众多的安全威胁。
  2. 网络攻击重心已转向应用层,Web已成为黑客首选攻击目标,针对Web的攻击和破坏不断增长,据高盛统计数据表明,75%的攻击是针对Web应用的。
  3. 然而,对于Web应用安全领域,很多企业还没有充分的认识、没有做好准备;许多开发人员也没有相应的经验,这给了黑客可乘之机。

2017年CNVD 收录漏洞按影响对象类型分类统计

在这里插入图片描述

Web常见架构组合

  • LAMP:Linux+Apache+Mysql+PHP;适用于大型网站架构、稳定性高、常见于企业网站
  • WAMP:Windows+Apache+Mysql+PHP;适用于中小型网站架构,易管理,常见于教育机构、事业单位
  • 其他组合还有:PHP+IIS;ASP+IIS;.NET+IIS;JSP+Tomcat

常见Web攻击动机

恶作剧;关闭站点拒绝服务;篡改网页内容;免费浏览收费内容;盗窃用户隐私信息;身份伪造登录;网页挂马等

OWASP TOP 10

借鉴前辈的总结:

  1. OWASP Top 10 简介
  2. OWASP Top 10 详解

所有知识为个人总结向,仅供参考

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值