- 1、本文档共30页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
名词定义Web20Web安全Web攻击
* 概述 成果 总结 / / 名词定义 Web 2.0 Web 安全 Web 攻击 Web1.0 的主要特点在于用户通过浏览器获取信息。Web2.0 则更注重用户的交互作用,用户既是网站内容的浏览者,也是网站内容的制造者。 利用网站系统的漏洞和Web服务程序漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码。 黑客最为青睐的攻击方式,即绕过了防火墙等常规防护手段,也使得攻击手段更加简便和多样化,令人防不胜防。 概述 成果 总结 / / 历史事件 2011年12月 国内用户数据泄露 2011年3月 僵尸网络攻击韩国计算机 2011年4月 索尼PSN用户数据被泄露 2011年5月 多家证书机构遭到攻击 2011年6月 花旗银行承认系统遭攻击 2011年8月 新浪微博暴发蠕虫病毒 2011年9月 多个开源系统官网被攻击 2011年3月 RSA遭受高级可持续攻击 用户数据 科技进步 竞争 信息 恶意 概述 成果 总结 / / 黑客需求 资源 邮件 军事 成就感 学习 钱 服务 前端 探寻 目标网站 尝试 全面攻击 研究 存在漏洞 Mysql 注入 概述 成果 总结 / / 数据库注入 Apache+PHP+MySQL 完善的体系——黑网站的主流技术 我没有什么特别的才能,不过喜欢寻根刨底地追问问题罢了。——爱因斯坦 概述 成果 总结 / / 数据库注入 SQL注入原理:SQL命令注入漏洞是web系统特有的一类漏洞,它源于PHP、ASP等脚本语言对用户输入数据和解析时的缺陷。“精髓在于巧妙构造命令。” $con =mysql_connect(“localhost”, “username”, “password”); $query=‘select date_reported, description, resolution from Bugs where bug_id =‘ . $_GET[‘bug_id’]; mysql_query($ query, $con); Mysql_close($con); 这是一个网站后台的语句,看一看, 漏洞就在这里! 正常的bug_id是12345:select date_reported, description, resolution from Bugs where bug_id=12345 恶意的bug_id是12345 or 1=1: select date_reported, description, resolution from Bugs where bug_id=12345 or 1=1 你有什么想法么? 概述 成果 总结 / / 数据库注入 寻找注入漏洞 了解目标信息 猜测数据表名 构造相关数据 非法获取信息 www.lucky_/showbugs.php?bug_id=12345 概述 成果 总结 / / 数据库注入 概述 成果 总结 / / 数据库注入 PHPER很少注意的知识 Dev们到底有哪些未知的Bug? MD5加密 Hash 概述 成果 总结 / / 密码加密技术 计算机安全领域广泛使用的一种散列函数 广泛用于加密领域 人类的每一个问题都会有一个众所周知的解决方案——无论是简洁的、可行的、还是错的。——亨利·路易斯·门肯 语言学家 概述 成果 总结 / / 密码加密技术 明文密码 hash加密 联合加密 设计算法 对称算法 加一粒盐 一人一密 一站一密 拒绝服务 DOS 概述 成果 总结 / / 服务器很忙! 找得了漏洞 改得了协议 拼得了带宽 人们讨厌改变。他们总会说:“我们一向如此。”而我尝试改变这一切。——格蕾丝·赫柏 计算机程序之母 概述 成果 总结 / / 服务器很忙! 每秒处理请求数 12 1200 概述 成果 总结 / / 服务器很忙! 1. 学会设计并建立良好的数据库(索引、反模式)。 2. 编写高效的代码(简洁易懂、执行效率,code review)。 3. 严谨的检查,不放过每一个url的请求,不遗漏每一次接口的调用。 4. 掌握最新的信息情报,及时了解所使用的框架以及技术的漏洞。 概述 成果 总结 / / 服务器很忙! 变慢 拒绝 概述 成果 总结 / / 服务器很忙! 概述 成果 总结 / / 服务器很忙! 跨站攻击 XSS 概述 成果 总结 / / 淘气的用户 那些年,我们一起攻击的 Myspace、Baidu、QQ、Sina…… 的确,有些人是两面派。——稻草人 《绿野仙踪》 概述 成果 总结 / / 淘气的用户 1.攻击者向目标网站提交含有XSS的数据 7.攻击者利用用户的session信息,伪装成用户
文档评论(0)