当前位置:首页 >  站长 >  建站经验 >  正文

渗透测试 网站安全基础点讲解(第一点)

 2019-09-23 10:34  来源: A5用户投稿   我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

随着网络的发达,越来越多的网站已悄悄崛起,在这里我们Sine安全给大家准备讲解下渗透测试服务中的基础点讲解内容,让大家更好的了解这个安全渗透测试的具体知识点和详情过程。主要目的就是为了在网站或app上线前进行全面的渗透测试检测模拟黑客的手法对网站进行全面的漏洞检测,并找出漏洞进行修复,防止上线后被黑客所利用导致带来更大的损失,只有这样才能让网站安全稳定的运行,所谓知己知彼 百战不殆。

今天所讲的是基础点知识(第一点开始)

1.1. Web技术演化

1.1.1. 静态页面

在互联网最初开始的时候,Web网站的主要内容是静态的,由文字和图片组成,制作和表现形式也是以表格为主。当时的用户行为也非常简单,仅仅是浏览网页。

1.1.2. 多媒体阶段

随着技术的不断发展,音频、视频、Flash等多媒体技术诞生了。多媒体的加入使得网页变得更加生动形象,网页上的交互也给用户带来了更好的体验。

1.1.3. CGI阶段

渐渐的,多媒体已经不能满足人们的请求,于是CGI(Common Gateway Interface)应运而生。CGI定义了Web服务器与外部应用程序之间的通信接口标准,因此Web服务器可以通过CGI执行外部程序,让外部程序根据Web请求内容生成动态的内容。

在这个时候,各种编程语言如PHP/ASP/JSP也逐渐加入市场,基于这些语言可以实现更加模块化的、功能更强大的应用程序。

1.1.4. Ajax

在开始的时候,用户提交整个表单后才能获取结果,用户体验极差。于是Ajax(Asynchronous Java And XML)技术逐渐流行起来,它使得应用在不更新整个页面的前提下也可以获得或更新数据。这使得Web应用程序更为迅捷地回应用户动作,并避免了在网络上发送那些没有改变的信息。

1.1.5. MVC

随着Web应用开发越来越标准化,出现了MVC等思想。MVC是Model/View/Control的缩写,Model用于封装数据和数据处理方法,视图View是数据的HTML展现,控制器Controller负责响应请求,协调Model和View。

Model,View和Controller的分开,是一种典型的关注点分离的思想,使得代码复用性和组织性更好,Web应用的配置性和灵活性也越来越好。而数据访问也逐渐通过面向对象的方式来替代直接的SQL访问,出现了ORM(Object Relation Mapping)的概念。

除了MVC,类似的设计思想还有MVP,MVVM等。

1.1.6. RESTful

在CGI时期,前后端通常是没有做严格区分的,随着解耦和的需求不断增加,前后端的概念开始变得清晰。前端主要指网站前台部分,运行在PC端、移动端等浏览器上展现给用户浏览的网页,由HTML5、CSS3、Java组成。后端主要指网站的逻辑部分,涉及数据的增删改查等。

此时,REST(Representation State Transformation)逐渐成为一种流行的Web架构风格。

REST鼓励基于URL来组织系统功能,充分利用HTTP本身的语义,而不是仅仅将HTTP作为一种远程数据传输协议。一般RESTful有以下的特征:

域名和主域名分开

api.example.com

example.com/api/

带有版本控制

api.example.com/v1

api.example.com/v2

使用URL定位资源

GET /users 获取所有用户

GET /team/:team/users获取某团队所有用户

POST /users 创建用户

PATCH/PUT /users 修改某个用户数据

DELETE /users 删除某个用户数据

用 HTTP 动词描述操作

GET 获取资源,单个或多个

POST 创建资源

PUT/PATCH 更新资源,客户端提供完整的资源数据 是 DELETE 删除资源

正确使用状态码

使用状态码提高返回数据的可读性

默认使用 JSON 作为数据响应格式

有清晰的文档

点击添加图片描述(最多60个字)

1.1.7. 云服务

随着时间的发展,Web的架构越发复杂,负载均衡、数据库分表、异地容灾、缓存、CDN、消息队列等技术开始应用,增加了Web开发和运维的复杂度。同时云服务开始逐渐发展,部署环境容器化,各个功能拆成微服务或是Serverless的架构。

1.2. 计算机网络

1.2.1. 计算机通信网的组成

计算机网络由通信子网和资源子网组成。

其中通信子网负责数据的无差错和有序传递,其处理功能包括差错控制、流量控制、路由选择、网络互连等。

其中资源子网:是计算机通信的本地系统环境,包括主机、终端和应用程序等, 资源子网的主要功能是用户资源配置、数据的处理和管理、软件和硬件共享以及负载 均衡等。

计算机通信网就是一个由通信子网承载的、传输和共享资源子网的各类信息的系统。

1.2.2. 通信协议

为了完成计算机之间有序的信息交换,提出了通信协议的概念,其定义是相互通信的双方(或多方)对如何进行信息交换所必须遵守的一整套规则。

协议涉及到三个要素,分别为:

语法:语法是用户数据与控制信息的结构与格式,以及数据出现顺序的意义

语义:用于解释比特流的每一部分的意义

时序:事件实现顺序的详细说明

1.2.3. OSI七层模型

1.2.3.1. 简介

OSI(Open System Interconnection)共分为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层七层,其具体的功能如下。

1.2.3.2. 物理层

提供建立、维护和释放物理链路所需的机械、电气功能和规程等特性

通过传输介质进行数据流(比特流)的物理传输、故障监测和物理层管理

从数据链路层接收帧,将比特流转换成底层物理介质上的信号

1.2.3.3. 数据链路层

在物理链路的两端之间传输数据

在网络层实体间提供数据传输功能和控制

提供数据的流量控制

检测和纠正物理链路产生的差错

格式化的消息称为帧

1.2.3.4. 网络层

负责端到端的数据的路由或交换,为透明地传输数据建立连接

寻址并解决与数据在异构网络间传输相关的所有问题

使用上面的传输层和下面的数据链路层的功能

格式化的消息称为分组

1.2.3.5. 传输层

提供无差错的数据传输

接收来自会话层的数据,如果需要,将数据分割成更小的分组,向网络层传送分组并确保分组完整和正确到达它们的目的地

在系统之间提供可靠的透明的数据传输,提供端到端的错误恢复和流量控制

1.2.3.6. 会话层

提供节点之间通信过程的协调

负责执行会话规则(如:连接是否允许半双工或全双工通信)、同步数据流以及当故障发生时重新建立连接

使用上面的表示层和下面的传输层的功能

1.2.3.7. 表示层

提供数据格式、变换和编码转换

涉及正在传输数据的语法和语义

将消息以合适电子传输的格式编码

执行该层的数据压缩和加密

从应用层接收消息,转换格式,并传送到会话层,该层常合并在应用层中

1.2.3.8. 应用层

包括各种协议,它们定义了具体的面向拥护的应用:如电子邮件、文件传输等

点击添加图片描述(最多60个字)

1.2.3.9. 总结

低三层模型属于通信子网,涉及为用户间提供透明连接,操作主要以每条链路( hop-by-hop)为基础,在节点间的各条数据链路上进行通信。由网络层来控制各条链路上的通信,但要依赖于其他节点的协调操作。

高三层属于资源子网,主要涉及保证信息以正确可理解形式传送。

传输层是高三层和低三层之间的接口,它是第一个端到端的层次,保证透明的端到端连接,满足用户的服务质量( QoS)要求,并向高三层提供合适的信息形式。 如果对渗透测试有具体详细的需求可以找专业的网站安全公司来处理解决防患于未然。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

作者: websafe    /    文章:144篇

相关标签
网站安全

相关文章

  • 网站安全渗透测试的多种姿势

    我认为,无论是带着全栈的工作经验,还是只能一部分技术性专业知识,要想搞好安全测试务必先变换我们观查软件的角度。举个事例,我们一起看一下:一样一幅画,许多人一眼看以往见到的是2个面部,而许多人见到的是一个大花瓶。这就是观查角度的不一样导致的。在我一开始触碰安全测试时就很深的感受来到这一点。那时候我还在

  • 春季复工促销进行时 安信SSL证书为企业网站安全保驾护航

    虽然有受到新冠肺炎疫情影响,但当下全国各地的企业已经陆续复工复产,尤其是通过网站开展线上业务的企业。在疫情期间,互联网上出现了各种各样的网络攻击,致使部分网站遭遇信息泄露或篡改的问题出现。因此,保护网站安全是企业正常复工复产的重要一环。

  • 网站被黑客攻击 企业如何进行网站安全防护

    好多企业网站遭遇黑客攻击,像黑客入侵在互联网只要有数据网络,就能使用数据网络远程操作目标的笔记本电脑、网络服务器、企业网站,从而任意地读取或篡改目标的重要数据,又又或者使用目标系统软件上的功能模块,比如对手机的麦克风开展监听,开启对方摄像头开展监控,使用已经被入侵的设备计算能力开展挖矿从而得到虚拟货

  • 85万个网站受影响:浏览器将停止支持TLS1.0/1.1的HTTPS网站

    在2020年3月底,几乎所有的主流浏览器都将陆续禁止访问TLS1.0/1.1的HTTPS网站访问使用旧版协议的网站将会显示网页错误,这次改动,预计将有85万个站点受影响。

  • 网站安全科普介绍 如何防止网站被黑被攻击

    作为一名网络安全工程师,“网站安全”这个词似乎离生活有些遥远,平日里很多人开启计算机最多就是登陆网站、浏览网站,至于网站安不安全,却从未关注过。近些年来,网络安全相关话题已经引起了社会的广泛关注,还记得去年暑期大火的偶像连续剧《亲爱的热爱的》讲述了男主希望为中国拿下CTF大赛冠军的梦想之路,CTF在

    标签:
    网站安全
  • 网站建设老域名是必不可少的一部分

    以上就是我们网站站长在做站的时候需要注意的问题,其实不管是老域名还是新域名我们一般都是选择历史记录比较干净的域名,只有这样才能更快的被百度收录,域名的选择是非常重要的,我一般使用的都是橘子SEO外链和历史查询,来选择合适的老域名,同时也希望我们所有的站长在2020都发发,也祝愿A5越来越好,下期我们

  • 揭秘帮企团队:用源码降低中小企业建站成本

    如今互联网世界变幻莫测,竞争激烈加大,各大企业也是瞄准了互联网这一块巨大的蛋糕,纷纷做起了自己的公司企业网站,希望借助互联网来获取属于自己的那部分客户。互联网的发展,无论是企业或个人,都会选择通往互联网的捷径,以发展企业文化或推广产品概念。

  • 网站安全公司对个人隐私保护措施

    伴随着顾客个人隐私保护观念的慢慢提高,有关政策法规的聚集颁布,个人隐私保护的总体发展趋势愈来愈严。换一个角度观察,在这般严苛的维护下获得的私人信息数据信息,具备更大的经济收益,灰产总是更为按耐不住,由于导致的危害越大,灰产盈利越高。在这类发展趋势下,本人、公司、管控组织应当怎样解决?

    标签:
    网站安全公司
  • php和asp网站源码有什么不同?哪种代码语言更好?

    相比于asp,php语言有它自身的优势。首先它是开源语言,我们在开发过程中遇到的问题,前人都给我们提供了解决方案。同时由于使用php语言的程序员很多,形成了比较庞大的php社区。所以有很多比较优秀的网站源码可供参考。

    标签:
    网站源码
  • 为什么企业网站不要用模板建站 模板建站有哪些弊端

    在网络技术越来越发达的现在,人们上网也越来越追求简单快捷。但同时,也有一些人在建设网站时也选择了简单快捷的办法,建站模式中,最简单的方法除了委托建站公司之外,也许就是模板建站了。但是,模板建站对于一个网站,尤其是企业网站来说,真的是一件好事吗?

  • 织梦程序如何调用自定义字段?

    dedecms系统调用自定义字段的方法相当简单,直接使用{dede:field.dizhi/}这样的方式调用即可。我在制作模板的时候遇到这样一个需求:我要同时调用3个自定义字段,而这三个字段中如果有一个为空则其他的两个字段不论是否为空,

    标签:
    织梦
  • 百度移动搜索地域优化服务如何操作?织梦为例详解

    如果是全国任何地方该怎么标注?假如我的一个分类没有限定省市,只是一个文章发布的分类,那么全国任何地址都有可能,还有的文章不需要标注,这个需要二次开发做联动筛选,工作量可大了。

  • 网站安全渗透测试的多种姿势

    我认为,无论是带着全栈的工作经验,还是只能一部分技术性专业知识,要想搞好安全测试务必先变换我们观查软件的角度。举个事例,我们一起看一下:一样一幅画,许多人一眼看以往见到的是2个面部,而许多人见到的是一个大花瓶。这就是观查角度的不一样导致的。在我一开始触碰安全测试时就很深的感受来到这一点。那时候我还在

  • 网站安全渗透测试行业如何踏入

    实际上这个问题有很多人跟我说,非科班可不可以?没触碰过程序编写,去培训班培训几个月可不可以?30岁了想从传统产业改行回来从业网络信息安全可不可以?实际上从我前边的叙述大伙儿也可以看出去,安全行业实际上对出身并不是很注重,但这也并不代表轻易就能改行回来。

  • 渗透测试网站漏洞代码语言分析

    近期许多网民跟我说为何出現系统漏洞的网站程序全是PHP开发设计的,而非常少有JAVA和Python的渗透案例,先不用说python,就PHP和Java谈一谈。在这以前,先何不记牢那么一个依据(眼底下也无需担心它对吗):PHP网站系统漏洞类型多但不繁杂,Java网站系统漏洞则反过来。

榜单

热门排行

信息推荐

扫一扫关注最新创业资讯