本文详细介绍了安全测试的重要性和不同类型的测试,如漏洞、WebShell、网络钓鱼、CC攻击、0day漏洞、Rootkit、蜜罐、DDoS、一句话木马和内网穿透等概念。还讨论了XSS和SQL注入的危害,以及对称加密和非对称加密的区别。此外,还涉及了XSS攻击后的可能操作和Web系统安全访问控制的重点。
1. 什么是安全测试(Security Testing)?
在所有类型的软件测试中,安全测试可以被认为是最重要的测试之一,其主要目的是在任何软件(Web或基于网络)的应用程序中找到漏洞,并保护其数据免受可额能的攻击或入侵,忧郁许多应用程序包含机密数据,需要被保护,因此需要定期在这样的应用层下上开展健全测试。
2. 什么是漏洞(Vulnerability)?
流动可以被定义为任何系统的弱点(Vulnerability),入侵者或破坏者可以通过该漏洞对系统进行攻击。如果系统没有严格执行安全性测试,那么出现漏洞的机会增加。可以通过打补丁或修复程序来防止系统出现漏洞。
- Web 服务器被入侵后,该怎么排查?
- 先查看Web日志,检查是否有可疑的日志信息和操作,然后判断是是什么类型的攻击;
- 如果过是CC,则可以在网站程序上增加防攻击代码或用软防火墙;
- 如果是DDOS,可疑及配置具有硬防抗DDOS攻击的设施;
- 如果是入侵,需找响应的防入侵方法;
- 如果是被外挂刷网站流量,则可以增加防盗链方法,避免盗链;
- 也可以使用安全狗等服务安全软件清扫。
3. 什么事WebShell?
WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境光,也可以将其称为一种网页后门。黑客在入侵了网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问这些asp或者php后门,得到一个命令执行环境,达到控制网站服务器的目的(可以上传下载文件,查看数据库,执行任意程序命令等)常用的WebShell有b374k, missile, c99shell等。
4.什么是网络钓鱼?
网络钓鱼是通过大量发送声称来自于银行或其它知名机构的期盼性邮件,意图引诱收件人给出敏感信息(如用户名,口令,账号IO,ATMPIN码或信用卡详细信息)的一种攻击方式。
最典型的网络钓鱼攻击将收信人引诱到一个公国精心设计与目标组织的网站非常相似的钓鱼网站上,并非获取收信人在此网站上输入的一个人敏感信息,通常这个攻击过程不会让受害者警觉。
它常常引导用户到URL地址外的 在外观上与真正网站高度相似的假冒网站输入个人数据。就算使用枪支加密的SSL服务器认证,要侦测网站是否仿冒实际上任很困难。网钓是一种列用社会工程技术来愚弄用户的实例。它凭借的现行网络安全技术的低亲和度。、
5. 什么是CC攻击 ?
CC攻击是DDOS(分布式拒绝服务)的一种,相比其它的DDOS攻击CC似乎共有技术含量一些,这种攻击你见不到真是源IP,见不到特别大的异常流量,但造成服务器无法进行正常连接。CC公共机的原理就是攻击者控制某些主机不停地发大量书籍包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
