web渗透测试(2):Web知识

Web

web应用程序可能是互联网上公司和机构暴露的最常见的服务; 此外,大多数旧应用程序现在都有一个“web版”可供浏览器使用。这种巨大的转变使网络安全成为网络安全的重要组成部分。

web的安全模型

web安全模型的基础非常简单:不要相信客户端。服务器收到的大部分信息都可能被客户欺骗。宁可安全,不要抱歉; 最好过滤和逃避一切,而不是稍后意识到你认为不是用户控制的值。

web安全风险

Web应用程序存在正常应用程序的所有风险:

  • 妥协
  • 信息泄露
  • 声誉损害
  • 信息丢失
  • 金钱损失

web技术

建筑

大多数Web应用程序依赖于3个组件:

  • 客户端:大多数情况下是网页浏览器。
  • 将接收来自客户端的请求的Web服务器。应用程序服务器可以参与处理请求; 在这种情况下,Web服务器只会将请求转发给应用程序服务器。
  • 存储后端检索并保存信息,通常是数据库。

所有这些组件可能具有不同的行为,这些行为将影响漏洞的存在和利用。所有这些组件也可能存在漏洞或安全问题。

客户端技术

大多数客户端技术每天都被大多数互联网用户使用:HTML,JavaScript,Flash …通过他们的浏览器(Chromium,Firefox,Internet Explorer,Safari …)。但是,Web应用程序的客户端也可以是连接到Web服务或仅脚本的胖客户端。

服务器端技术

在服务器端可以使用很多技术,即使所有技术都可能容易受到任何web问题的影响,但对于给定的技术来说,更可能发生一些问题。

服务器端可以分为更多的子类别:

  • Web服务器,如Apache,lighttpd,Nginx,IIS …
  • 应用服务器,如Tomcat,Jboss,Oracle应用服务器……
  • 使用的编程语言:PHP,Java,Ruby,Python,ASP,C#……这种编程语言也可以用作Ruby-on-Rails,.Net MVC,Django等框架的一部分。

存储后端

存储后端可以位于与Web服务器相同的服务器上,也可以位于不同的服务器上。这可以解释在利用某些漏洞期间的怪异行为。

后端的一些例子是:

  • 简单的文件。
  • 关系数据库如Mysql,Oracle,SQL Server,PostgreSQL。
  • 其他数据库,如MongoDB,CouchDB。
  • 目录像openLDAP或Active Directory。

应用程序可以使用多个存储后端。例如,某些应用程序使用LDAP来存储用户及其凭据,并使用Oracle来存储信息。

微信公众号
手机浏览(小程序)
0
分享到:
没有账号? 忘记密码?