第1章 Web安全简介.pptxVIP

第1章 Web安全简介第1章 Web安全简介1.1 服务器是如何被入侵的1.2 如何更好地学习Web安全教学目标了解Web应用程序漏洞产生的原因了解Web安全相关的基础知识1.1 Web服务器是如何被入侵的的Web应用程序存在安全漏洞：SQL注入、XSS、上传漏洞、代码执行、逻辑漏洞……1.1 服务器是如何被入侵的的Web安全威胁 Owasp TOP101.1 服务器是如何被入侵的的1.1 服务器是如何被入侵的的链接地址：/top25/#ListingCWE TOP 25Owasp TOP 10与CWE TOP 25两者区别在于，CWE更加站在程序员的角度，重点关注 的是软件开发过程，即编程时的漏洞，这些漏洞 最终会造成软件不安全，使得软件易被 攻击。而OWASP则站在攻击者的角度 ，思考当今攻击者针对 Web应用 软件 漏洞采取的最常用 攻击 方式 ，从而提高开发者对应用 安全的关注 度。详细资料 参考 教材：1.5—1.7节。1.2 如何更好地学习Web安全渗透测试人员如何更好地学习“漏洞”呢？黑客都是程序员，但程序员不一定是黑客。从某个角度来说，渗透测试人员其实就是一个黑客，但与黑客的性质不一样，黑客只需要找到程序的一个突破口，拿到权限即可，而渗透测试人员必须要找到系统所有的漏洞，才能保证系统的安全。然而真正做到对这些漏洞知其所以然，必须学习编程技术。参考：Web 安全渗透方面的学习路线/question/219148991.2 如何更好地学习Web安全1.2 如何更好地学习Web安全OWASP是一个开放社群式的非营利性组织。CWE是由美国国家安全局首先倡议的战略行动。 OWASP(Open Web Application Security Project，开放式Web应用程序安全项目)是一个开放社群式的非营利性组织。CWE(Common Weakness Enumeration,通用漏洞列举）是由美国国家安全局首先倡议的战略行动。请记住一条原则性忠告：不要在不属于自己的站点或者应用程序上使用安全测试工具，因为这些攻击可能涉及法律上的纠纷。