Web服务组件
Web开发语言
- PHP
- ASP
- .NET
- JSP
- 等
Web服务系统
- Windows
代表:Windows2003,Windows2008
常见漏洞:“永恒之蓝”(MS17-010),MS08-067(过时但很经典) - Linux
代表:Ubuntu、CentOS、Redhat
常见漏洞:脏牛漏洞、sudo漏洞
Web数据库
-
数据库是按照数据结构来组织、存储、管理数据的“仓库”
-
结构化查询语言:简称SQL,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新、管理(增删改查)信息
-
典型代表:Mysql、MSSQL、Access、Oracle、Sqlite等
-
数据库管理软件:Phpmyadmin、Navicat(推荐)等
Web服务软件(又称中间件)
- Web服务器也称HTTP服务器,它是响应来自浏览器的HTTP请求,并发送网页文件/资源的软件
- 当访问者在浏览器的地址文本框输入一个URL(统一资源定位系统),或者单击某个链接,会生成一个网页请求
- 常见中间件:
IIS:Internet信息服务器,一款Windows自带的中间件。是微软提供的Internet服务器软件,包括Web、FTP、SMTP等服务器组件
相关漏洞:IIS短文件泄露、IIS解析漏洞
Apache:是Apache软件基金会的一个开放源码的网页服务器,世界使用排名第一,适合大型网站
相关漏洞:日志文件漏洞、解析漏洞
Nginx:目前最热的中间件,静态页面性能远超Apache,高性能HTTP和反向代理服务器,也是一个IMAP、POP3、SMTP服务器
相关漏洞:整数溢出漏洞、解析漏洞
Tomcat:开源轻量web应用服务器,中小型你系统和并发少的需求下用,开发和调试JSP程序的首选
相关漏洞:弱口令、远程代码执行、本地提权
Weblogic:java反序列化漏洞、SSRF服务器端请求伪造
Web安全现状分析
- Web已经在企业信息化、电子商务、电子政务中等得到广泛的应用, Web的迅速发展同时,也带来了众多的安全威胁。
- 网络攻击重心已转向应用层,Web已成为黑客首选攻击目标,针对Web的攻击和破坏不断增长,据高盛统计数据表明,75%的攻击是针对Web应用的。
- 然而,对于Web应用安全领域,很多企业还没有充分的认识、没有做好准备;许多开发人员也没有相应的经验,这给了黑客可乘之机。
2017年CNVD 收录漏洞按影响对象类型分类统计
Web常见架构组合
- LAMP:Linux+Apache+Mysql+PHP;适用于大型网站架构、稳定性高、常见于企业网站
- WAMP:Windows+Apache+Mysql+PHP;适用于中小型网站架构,易管理,常见于教育机构、事业单位
- 其他组合还有:PHP+IIS;ASP+IIS;.NET+IIS;JSP+Tomcat
常见Web攻击动机
恶作剧;关闭站点拒绝服务;篡改网页内容;免费浏览收费内容;盗窃用户隐私信息;身份伪造登录;网页挂马等
OWASP TOP 10
借鉴前辈的总结:
所有知识为个人总结向,仅供参考