2017-2018-2 《网络攻防》第五周作业

Posted 2020-10-30 democraliberal

一Kali视频学习#

1.bbqsql##

2.HexorBase##

3.Jsql##

4.Oscanner##

5.SIDGusser##

6.Sqlsus##

7.burpsuits##

8.owasp zap##

9.webscarab##

10.fuzzing工具集##

二《网络攻防》学习总结#

Web安全攻防技术与实现##

web应用程序体系结构及其安全威胁###

web应用体系结构####

浏览器
web服务器
web应用程序
数据库
传输协议http/https

web应用安全威胁####

针对浏览器和终端用户的web浏览安全威胁
针对传输网络的网络协议安全威胁
系统层安全威胁
web服务器软件安全威胁
web应用程序安全威胁
web数据安全威胁

web应用安全攻防技术概述###

web应用的信息收集####

对目标web应用服务进行发现与剖析，标识出它的基本轮廓，具体包括服务器域名，IP地址和虚拟IP地址，web服务器端口与其他开放服务，web站点类型和版本，web应用程序类型与版本，以及web服务器和web应用程序中存在的安全漏洞信息等。

web应用程序的探测和漏洞发现####

手工审查web应用程序结构与源代码
自动下载与镜像web站点页面
使用Google Hacking审查与探测web应用程序
web应用程序安全评估与漏洞探测

攻击web服务器软件####

数据驱动的远程代码执行安全漏洞
服务器功能扩展模块漏洞
样本文件安全漏洞
源代码泄露
资源解析攻击

攻击web应用程序####

安全敏感数据泄露
网站篡改
不良信息内容上传

web应用安全防范措施####

web站点网络传输安全设防措施

web站点操作系统及服务安全设防措施
web应用程序安全设防措施
web站点数据安全设防措施

SQL注入###

SQL注入攻击原理####

SQL注入攻击步骤和过程####

SQL注入攻击工具####

SQL注入攻击防范措施####

使用类型安全的参数编码机制
凡是来自外部的用户输入，必须进行完备检查
将动态SQL语句替换为存储过程，预编译SQL或ADO命令对象
加强SQL数据库服务器的配置与连接

XSS跨站脚本攻击###

xss攻击技术原理####

xss攻击类型####

xss攻击防范措施####

服务器端防范措施
输入验证
输出净化
消除危险的输入点
客户端防范措施

web浏览器的技术发展与安全威胁##

web浏览的安全问题与威胁###

web浏览端的渗透攻击威胁——网页木马##

网页木马安全威胁的产生背景###

网页木马存在的技术基础——web浏览端安全漏洞

网页木马的机理分析###

网页木马的定义特性
对网页木马机理的全方位分析与理解
网页木马的本质核心——浏览器渗透攻击
网页挂马机制
内嵌html标签
恶意Script脚本
内嵌对象链接
ARP欺骗挂马
混淆机制

网页木马的检测与分析技术###

基于特征码匹配的传统检测方法
基于统计与机器学习的静态分析方法
基于动态行为结果判定的检测分析方法
基于模拟浏览器环境的动态分析检测方法
网页木马检测分析技术综合对比