web安全是什么?主要分为哪几部分?

最新推荐文章于 2024-09-17 10:18:19 发布
原创 最新推荐文章于 2024-09-17 10:18:19 发布 · 246 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #数据库 #开发语言 #系统安全 #网络安全

文章介绍了Web安全的重要性和常见攻击类型,如SQL注入和XSS,强调了学习基础网络安全、系统安全和数据安全的重要性。对于初学者,建议从Web安全入手,掌握包括系统操作、数据库知识、Web渗透测试技术以及黑客工具的使用。同时,了解网站框架和Linux进阶知识对于提升技能至关重要。

 网络安全是一个非常庞大的体系,范围非常之大,被分为很多种类型,web安全就是其中之一,也是网络安全技术中非常重要的领域。那么web安全是什么?主要分为哪几部分?以下是详细的内容介绍。

  什么是web安全?

  随着web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在web平台上,web业务的迅速发展也引起黑客们的强烈关注,接踵而来的就是web安全威胁的凸显。黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对web应用安全的关注度也逐渐升温。

  web安全主要就是在上网用户访问互联网时,保证信息的保密性、完整性、真实性。web安全常见的攻击手段有:SQL注入、XSS跨站脚本、文件包含文件上传、网页挂马等。

  web安全主要分为几个部分?

  1、基础网络安全:网络终端安全、防病毒、非法入侵、共享资源控制;内部局域网安全,内部访问控制、网络阻塞、病毒检测;外网安全,非法入侵、病毒检测、流量控制、外网访问控制。

  2、系统安全:硬件系统级安全,门禁控制、机房设备监控、防火监控、电源监控、设备运行监控;操作系统级安全,系统登录安全、系统资源安全、存储安全、服务安全等;应用系统级安全,登录控制、操作权限控制。

  3、数据、应用安全:本地数据安全,本地文件安全、本地程序安全;服务器数据安全,数据库安全、服务器文件安全、服务器应用系统、服务程序安全。

作为拥有着 10 年经验的渗透安全测试工程师,一路也是从小白历经磨难成长起来的我,给现在的新手小白一些建议。渗透安全的范围其实要学习的东西很广泛的,比如系统安全、移动安全、无线安全、web 安全等很多方向。

作为小白呢,这里建议大家可以从 web 安全入手,web 安全领域相对来说比较好入门,对于小白来说呢,入门是相对来说友好一些的。我刚开始的时候也是从 web 安全开始入手的,web 安全的知识有哪些呢,我给大家简单的梳理一下知识轮廓。

Web 安全基础要学习那些知识呢?

01 对于系统的操作

比如 window 系统、linux 系统、还有黑客最火的 kali 系统

02 数据库的学习

针对于 web 漏洞中的 SQL

例如:MySQL 数据库的基本操

03 进行 web 安全渗透

一定要了解 web 漏洞的原理,web 常见的漏洞有 SQL 注入、xss 漏洞、csrf、ssrf、文件上传、任意文件下载、弱口令、逻辑漏洞等,尤其是 owasp top 10 漏洞的原理、判别方法、利用手法、了解防火墙绕过方法,了解 CDN 技术、负载均衡技术、DNS 技术、MVC 框架、要了解主流服务器软件的特性漏洞、Linux、URL 编码、常见加密解密技术、目录爆破、子域名爆破、后台爆破、ssl 等等

04 各种的搜索引擎的使用技巧:

Google、FOFA、shodan、zoomeye 等搜索引擎的使用技巧来进行资产的收集,在做前期的渗透信息收集的时候,是非常重要的。

05 HTML5、css3、PHP

在进行学习 web 渗透之前呢,需要简单了解一下语言 HTML5、css3、PHP,这些语言对于了解 web 安全漏洞有很大的帮助的。

06 要掌握基本的几种黑客工具的使用:

AWVS、appscan、nmap、burpsuite、sqlmap、xray、Metasploit、浏览器代理、各种语言的小马大马、蚁剑等工具的使用

07 对于一些网站的基础框架要有一定的了解:

TP、DZ、WP、织梦、帝国、structs、ecshop、等常见的网站框架要了解

08 Linux 渗透进阶知识:

Linux 下手动查杀木马过程-使用 rootkit 隐藏踪迹的审计方法,主要有模拟木马程序病原体并让木马程序自动运行的代码审计,木马父进程实时监控木马的原理及防御方法,创建一个让 root 用户都删除不了的木马程序的原理及防御方法,深入讲解如何不让木马程序和外网数据主动通信,使用 rootkit 把木马程序的父进程和木马文件隐藏的审计方法,使用 rkhunter Rootkit 猎手来检查 rootkit,还有 Linux 下的手工提权原理-劫持账号和密码审计及防御方法-Tripwire 检查文件。

09 还有无线安全和一些免杀 shell 技巧的技术

以上 9 个知识点给大家大概介绍了一下 web 安全渗透概念,下面给大家看一下我总结的比较全面的 web 渗透的思维导图,大家可以详细的看一下具体 web 渗透测试具体需要那些技术知识点。

以上的 web 渗透安全相关的知识点,给大家介绍了一下如何去学习那些知识,这个世界充满了待解决的迷人问题,做一个黑客有很多乐趣,但是需要颇费气力才能获得这些乐趣。这些动力需要动机。卓越的运动员从强健体魄、挑战自我身体极限中汲取动力。类似的,作为黑客,你必须从解决问题、磨练技术、锻炼智力中获得基本的快感。希望各位从事渗透安全的小白们,早日进阶黑客大佬。

如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(H客入门教程)

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉优快云大礼包:《H客&网络安全入门&进阶学习资源包》免费分享

👉网安(H客)全套学习视频👈

我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。

👉网安(H客红蓝对抗)所有方向的学习路线👈

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

👉H客必备开发工具👈

工欲善其事必先利其器。学习H客常用的开发软件都在这里了,给大家节省了很多时间。

这份完整版的网络安全(H客)全套学习资料已经上传至优快云官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

如果你有需要可以点击👉优快云大礼包:《H客&网络安全入门&进阶学习资源包》免费分享

web安全深度剖析】1.1 Web安全简介
qq_40785722的博客
03-08 7439
web安全深度剖析】1.1 Web安全简介 【web安全深度剖析】 1. 服务器是如何被入侵的 渗透的必要条件是:攻击机通过服务器提供的端口服务和服务器进行正常的通信。过去的黑客攻击方式大多数都是针对目标进行的,现在已转移到Web之上。 构成Web的四个要素:数据库、编程语言Web容器、Web应用程序的设计者 攻击者直接对目标下手一般有三种手段: C段渗透:通过ARP等手段对同一网段内的一台主机进行渗透 社会工程学:高级手段 Services:主要手段 2. 如何更好的学习web安全 根据应用
什么是 Web 3.0 (Web3)?定义、指南和历史
qq_41846013的博客
11-27 1860
Web 3.0 做好准备的最佳方式是首先对其核心技术有基本的了解,然后积累使用 JavaScript 等长期存在的 Web 开发语言的经验,以及 Rust(一种在 Web 3.0 项目中越来越流行的新语言)。此外,熟悉顶级区块链平台也很重要,包括以太坊、Hyperledger Fabric 和 IBM Blockchain。前端开发(例如用户体验和 dApp 设计)预计将成为重要的Web 3.0 技能之一。
WEB安全技术
10-08
http协议、常见漏洞攻击及防护,包括SQL注入、XSS跨站脚本攻击、文件上传漏洞、渗透工具的使用
Web安全基础教程(非常详细)从零基础入门到精通,看完这一篇就够了
Python_0011的博客
09-02 2460
元素定义一个段落注:在浏览器的页面上使用键盘上的F12按键开启调试模式,就可以看到组成标签。HTML-段落HTML段落是通过标签来定义的,这是一个段落HTML-链接HTML链接是通过标签来定义的标签的href属性用于指定超链接目标的URL。在href属性中指定链接的地址。HTML-图像HTML图像是通过标签来定义的HTML-水平线标签在HTML页面中创建水平线;Hr元素可用于分割内容。HTML-注释可以将注释插入HTML代码中,这样可以提高其可读性,使代码更容易被人理解。
什么是Web安全
w候人兮猗
12-18 2317
前言 Web安全主要有如下几大分类 XSS CSRF(跨站请求伪造) SQL注入 命令行注入 DDos注入 流量劫持 XSS 非持久型XSS(反射型)漏洞 简介 攻击者通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行,从而达到攻击目的(获取用户信息,侵犯隐私) 特点 注入方式不是来源与URL,通过后端从数据库读取数据。不需要诱骗点击,只要求攻击者在提交表单的地方完成注入即可 解决方法 Web页面渲染所有内容或渲染的数据必须来源于服务器 不要从 U
什么是web安全性测试?
04-19 1260
一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手Web安全性测试数据加密:某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信息、用户登陆密码信息等。此时需要进行相应的其他操作,如存储到数据库、解密发送要用户电子邮箱或者客户浏览器。目前的加密算法越来越多,越来越复杂,但
(持续更新中)Web功能测试下的安全测试如何进行?
qq_22643187的博客
03-13 1510
想到安全测试很多功能测试人员都很难入手,以为都是专业的安全测试人员去做。比如经常碰到的任务:某某某测试下系统有哪些安全问题,而对于经历过长达五六年的 web 功能、性能、接口测试人员来说,面对该任务就一头雾水。面对任何测试对象,我们需要有对应的范围,然后才讲到各个范围的技术方法。以下安全测试范围是本人实践过的,且用于过部分上市的基金公司安全测试执行过程的测试验证。请看完我的文章描述,我相信可以助力你成为一个初级安全测试工程师!Q:安全测试测试什么啊?Q:安全测试策略如何编写?Q:安全测试如何执行?
什么是dapp?如何在web开发dapp?
paranoid_7988的博客
12-07 2102
web3“Web3.0”是对“Web2.0”的改进,在此环境下,用户不必在不同中心化的平台创建多种身份,而是能打造一个去中心化的通用数字身份体系,通行各个平台。更像是一种概念吧。区块链区块链()是由节点参与的分布式数据库系统, 它的特点是不可更改,不可伪造,也可以将其理解为账簿系统()。它是比特币的一个重要概念,完整比特币区块链的副本,记录了其代币()的每一笔交易。通过这些信息,我们可以找到每一个地址,在历史上任何一点所拥有的价值。 Dapp是的缩写,中文直译为去中心化应用,也可以理解为分布式应用。去中心
web安全测试入门
m0_62410106的博客
09-17 1509
安全测试:安全性测试指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程导致软件出现安全问题的主要原因或根源是软件的安全漏洞安全漏洞:特指在硬件、软件、协议的在逻辑设计上或具体实现或系统安全策略上存在的缺陷或错误漏洞的产生主要是由于程序员不正确和不安全变成引起的不法者可以通过漏洞获取系统额外权限并对系统植入木马、病毒、以窃取系统资料威胁到系统安全的错误才是漏洞安全漏洞危害系统完整性:非法串改破坏数据的完整性系统可用性:破坏系统或者网络,导致服务不可用。
Web安全服务渗透测试模板.docx
10-30
Web安全服务渗透测试模板 Web安全服务渗透测试模板是一个实用的渗透测试报告模板,旨在帮助企业和个人对Web应用程序和系统进行渗透测试,以检测和评估其安全性。该模板提供了一个结构化的框架,指导测试人员按照...
web安全
xybz1993的博客
08-25 443
CSRF攻击。 跨站请求伪造:简单理解,攻击者盗用了他人身份,发送恶意请求。 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤: 1.登录受信任网站A,并在本地生成Cookie。 2.在不登出A的情况下,访问危险网站B。(B网站可以返回一个立即请求A网站的连接a,本来A网站需要用户登录才能响应链接a的请求,但由于用户之前登录过网站A,所以再次访问会带上上次登录的coo...
web安全是指什么
godkun的博客
01-24 2572
主要指两个方面 私密性 不被非法获取和利用。 可靠性 不丢失不损坏不被篡改。 体现在几个方面 代码层面 架构层面 运维层面 安全问题的考虑 用户身份被盗用 用户密码泄露 用户资料被盗取 网站数据库泄露 还有一些其他的安全问题 web安全的重要性为什么这么高 直面用户,挑战严峻 网站和用户安全是生命线 安全事故威胁企业生产,口碑甚至生存 有哪些安全隐患 跨站脚本
什么是Web安全,解释常见的Web安全攻击和防御措施?
fengyege的博客
08-30 593
Web安全指的是保护网站或Web应用程序免受未经授权的访问、篡改、修改或数据丢失等威胁的过程。跨站脚本攻击(XSS):攻击者向Web应用程序注入恶意脚本,当用户访问该应用程序时,恶意脚本会被执行并注入到用户的浏览器中,从而获取用户的敏感信息或执行其他恶意操作。跨站请求伪造(CSRF):攻击者诱导用户点击链接或访问特定的URL,该URL用于发送恶意请求,请求可能涉及用户身份验证、财务交易或其他敏感操作。
Web安全介绍
lime2019的博客
05-12 466
安全包括: 私密性:个人资料不被非法获取和利用,仅在拥有授权情况下可以进行访问; 可靠性:个人资料不会丢失、不会损坏、不被篡改; WEB安全层面: 代码层面:保证代码是安全的,没有安全漏洞; 架构层面:避免架构风险,从根源保证其是安全的; 运维层面:开发完成后,在运营时候避免项目不被入侵。 WEB安全问题: 用户身份被盗用; 用户密码泄露; 用户资料被盗取; 网站数据库泄露; 常见的安全问题: 跨站脚本攻击XSS 跨站请求伪造攻击CSRF 前端Cookies安全性 点击劫持攻击 传输过程安全
Web安全相关
whan8080的专栏
05-19 1118
1. HTTPS和HTTP 区别: HTTP 明文传输,数据都是未加密的,安全性较差,HTTPS(SSL+HTTP) 数据传输过程是加密的,安全性较好。 使用 HTTPS 协议需要到 CA(Certificate Authority,数字证书认证机构) 申请证书,一般免费证书较少,因而需要一定费用。证书颁发机构如:Symantec、Comodo、GoDaddy 和 GlobalSign 等。 HT...
浅谈Web安全
D蓝叶
04-01 1572
最近读了吴翰清先生的《白帽子讲Web安全》书籍,备有收益,于是就想到把一些内容搬到网上来,也算是一种读书总结吧。在此感谢吴翰清先生的用心著作。 安全原则 白名单和黑名单,如果更多使用白名单思想,系统就会变得更安全。 最小权限原则,要求系统只授予主体必要的权限,这样能有效地减少系统,网络,应用,数据库出错的机会。 客服端脚本安全 浏览器安全 同源策略 同源策略:...
聊一聊session和cookie
weixin_33806300的博客
05-12 316
本来是想写aop设计机制的,但是最近被session这个东西搞得有点头大,所以就抽点时间来整理下关于session的一些东西。 目录 从http协议的无状态性说起 无连接和无状态 持久连接 http无状态 如何保持状态信息 Cookie Cookie机制原理 Cookie在servlet-api中的定义 Cookie属性 创建Cookie Cookie更新 Cookie删除 从请求中...
Web安全中什么叫做“机器人控制了我的头”?
最新发布
09-25
<think> 首先,用户的问题是:“Web安全中什么叫做‘机器人控制了我的头’?” 这翻译成英文是:"In web security, what is meant by 'robots controlled my head'?" 但“机器人控制了我的头”听起来像是一个误解或翻译错误。常见的Web安全术语是“robots.txt”,它控制网络爬虫对网站的访问权限。可能用户指的是“robots.txt”的概念,但说成了“机器人控制了我的头”,这可能是打字错误或口语化表达。 正确的术语是“robots.txt文件”,用于指示网络爬虫(如搜索引擎的机器人)哪些页面可以抓取,哪些不能。这有助于防止爬虫访问敏感区域。 所以,我需要解释“robots.txt”在Web安全中的作用。用户的问题说“机器人控制了我的头”,我应该澄清这是指“robots.txt”。 我的回答应该: 1. 使用中文回答问题。 2. 回答完问题后,必须提出3-5个相关问题。 3. 第一行必须完整输出“§§相关问题§§”。 4. 相关问题必须输出在回答的末尾且不可缺少。 5. 禁止换行分散——意思是相关问题列表应该连续输出,没有额外的换行或其他分散。 根据示例格式: - 回答部分:解释概念,可能包括代码或描述。 - 然后输出“§§相关问题§§”,紧接着是编号列表的问题。 结构化我的回答: - 第一部分:解释“机器人控制了我的头”可能是对“robots.txt”的误解。解释robots.txt的作用。 - 第二部分:在解释后,输出“§§相关问题§§”。 - 第三部分:列出3-5个相关问题。 相关问题应该基于用户的问题和我的回答。用户的问题是询问Web安全中的一个概念,所以我应该提出相关问题来扩展这个话题。 可能的回答内容: 1. 澄清“机器人控制了我的头”指的是“robots.txt”。 2. 解释什么是robots.txt:它是一个放置在网站根目录的文本文件,告诉网络爬虫哪些目录或文件不应该被抓取。 3. 在Web安全中的作用:防止敏感数据泄露、防止不必要的爬虫访问等。 然后,提出3-5个相关问题,例如: 1. 如何创建一个有效的robots.txt文件? 2. robots.txt文件能完全阻止恶意爬虫吗? 3. 在Web安全中,除了robots.txt,还有哪些方法可以控制爬虫访问? 4. robots.txt的标准语法是什么? 5. 为什么在某些情况下robots.txt不被遵守? 确保相关问题数量在3-5个。 完整输出: - 回答内容。 - “§§相关问题§§” - 列出问题,用数字加点和空格,如“1. 第一个问题\n2. 第二个问题”等。 根据规则:“第一行必须完整且输出 '§§相关问题§§'!” – 这是指在输出相关问题部分的第一行,而不是整个回答的第一行。在示例中,它是在回答之后输出的。 在示例中: - 回答部分结束。 - 然后“§§相关问题§§” - 然后是列表。 所以,我的回答结构: 1. 解释概念。 2. 输出“§§相关问题§§” 3. 输出编号的相关问题列表。 现在,制定回答。 中文回答: 用户的问题是中文的,所以我必须用中文回答。 回答大意: “在Web安全中,‘机器人控制了我的头’可能是一个误解,正确的术语是‘robots.txt’。robots.txt是一个文件,用于指示网络爬虫(机器人)如何访问网站。例如,它可以指定哪些页面不应该被抓取,以防止敏感信息泄露或减少服务器负载。robots.txt文件必须放置在网站的根目录下,遵循特定语法。” 然后,相关问题: 1. robots.txt文件的基本语法是什么? 2. 为什么robots.txt不能完全保证安全? 3. 如何测试robots.txt文件是否有效? 4. 在哪些情况下爬虫可能忽略robots.txt? 5. robots.txt与用户代理(UA)字符串有什么关系? 确保有3-5个。我可以选3-5个。 最终输出: - 回答文本。 - “§§相关问题§§” - “1. 第一个问题” - “2. 第二个问题” - 等等,在同一行或连续行,但不能有额外的换行分隔。意思是列表应该紧凑,没有空行。 在示例中,问题是换行列出的,但不是分散的。示例是: §§相关问题§§ 1. ··· 2. ··· 3. ··· 所以,输出“§§相关问题§§”后换行,然后每个问题单独一行是允许的。规则说“禁止换行分散”,可能意思是不要在列表中引入不必要的空行。 因此,我的输出应该像: <回答内容> §§相关问题§§ 1. 问题1 2. 问题2 3. 问题3 </think> 在Web安全中,“机器人控制了我的头”可能是一个误解或误译,正确的术语应为“robots.txt”。robots.txt是一个标准文件,放置在网站的根目录(如 `https://example.com/robots.txt`),用于指示网络爬虫(搜索引擎机器人)如何访问网站的页面。它的主要作用是控制爬虫的行为: - **功能**:通过指定规则(如 `User-agent` 和 `Disallow`)来允许或禁止爬虫抓取特定目录或文件,从而防止敏感数据泄露(如后台管理页面或用户数据),降低服务器负载,并优化搜索引擎索引。 - **安全意义**:它不是绝对的安全措施,但能减少攻击面,例如阻止恶意爬虫扫描漏洞或窃取信息。robots.txt 文件通常使用纯文本格式编写,示例如下: ``` User-agent: * # 适用于所有爬虫 Disallow: /admin/ # 禁止抓取/admin目录 Disallow: /private.html # 禁止抓取私人文件 Allow: /public/ # 允许抓取/public目录 ``` 如果配置不当(如意外暴露敏感路径),robots.txt 可能被滥用,因此它只是Web安全的第一道防线,需结合其他措施(如身份验证或防火墙)。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值