滲透測(cè)試 網(wǎng)站安全基礎(chǔ)點(diǎn)講解(第一點(diǎn))
  • 更新時(shí)間:2024-12-22 10:27:57
  • 建站經(jīng)驗(yàn)
  • 發(fā)布時(shí)間:2年前
  • 725

隨著網(wǎng)絡(luò)的發(fā)達(dá),越來(lái)越多的網(wǎng)站已悄悄崛起,在這里我們Sine安全給大家準(zhǔn)備講解下滲透測(cè)試服務(wù)中的基礎(chǔ)點(diǎn)講解內(nèi)容,讓大家更好的了解這個(gè)安全滲透測(cè)試的具體知識(shí)點(diǎn)和詳情過(guò)程。主要目的就是為了在網(wǎng)站或app上線(xiàn)前進(jìn)行全面的滲透測(cè)試檢測(cè)模擬黑客的手法對(duì)網(wǎng)站進(jìn)行全面的漏洞檢測(cè),并找出漏洞進(jìn)行修復(fù),防止上線(xiàn)后被黑客所利用導(dǎo)致帶來(lái)更大的損失,只有這樣才能讓網(wǎng)站安全穩(wěn)定的運(yùn)行,所謂知己知彼 百戰(zhàn)不殆。


今天所講的是基礎(chǔ)點(diǎn)知識(shí)(第一點(diǎn)開(kāi)始)

1.1. Web技術(shù)演化

1.1.1. 靜態(tài)頁(yè)面

在互聯(lián)網(wǎng)最初開(kāi)始的時(shí)候,Web網(wǎng)站的主要內(nèi)容是靜態(tài)的,由文字和圖片組成,制作和表現(xiàn)形式也是以表格為主。當(dāng)時(shí)的用戶(hù)行為也非常簡(jiǎn)單,僅僅是瀏覽網(wǎng)頁(yè)。


1.1.2. 多媒體階段

隨著技術(shù)的不斷發(fā)展,音頻、視頻、Flash等多媒體技術(shù)誕生了。多媒體的加入使得網(wǎng)頁(yè)變得更加生動(dòng)形象,網(wǎng)頁(yè)上的交互也給用戶(hù)帶來(lái)了更好的體驗(yàn)。


1.1.3. CGI階段

漸漸的,多媒體已經(jīng)不能滿(mǎn)足人們的請(qǐng)求,于是CGI(Common Gateway Interface)應(yīng)運(yùn)而生。CGI定義了Web服務(wù)器與外部應(yīng)用程序之間的通信接口標(biāo)準(zhǔn),因此Web服務(wù)器可以通過(guò)CGI執(zhí)行外部程序,讓外部程序根據(jù)Web請(qǐng)求內(nèi)容生成動(dòng)態(tài)的內(nèi)容。


在這個(gè)時(shí)候,各種編程語(yǔ)言如PHP/ASP/JSP也逐漸加入市場(chǎng),基于這些語(yǔ)言可以實(shí)現(xiàn)更加模塊化的、功能更強(qiáng)大的應(yīng)用程序。


1.1.4. Ajax

在開(kāi)始的時(shí)候,用戶(hù)提交整個(gè)表單后才能獲取結(jié)果,用戶(hù)體驗(yàn)極差。于是Ajax(Asynchronous Java And XML)技術(shù)逐漸流行起來(lái),它使得應(yīng)用在不更新整個(gè)頁(yè)面的前提下也可以獲得或更新數(shù)據(jù)。這使得Web應(yīng)用程序更為迅捷地回應(yīng)用戶(hù)動(dòng)作,并避免了在網(wǎng)絡(luò)上發(fā)送那些沒(méi)有改變的信息。


1.1.5. MVC

隨著Web應(yīng)用開(kāi)發(fā)越來(lái)越標(biāo)準(zhǔn)化,出現(xiàn)了MVC等思想。MVC是Model/View/Control的縮寫(xiě),Model用于封裝數(shù)據(jù)和數(shù)據(jù)處理方法,視圖View是數(shù)據(jù)的HTML展現(xiàn),控制器Controller負(fù)責(zé)響應(yīng)請(qǐng)求,協(xié)調(diào)Model和View。


Model,View和Controller的分開(kāi),是一種典型的關(guān)注點(diǎn)分離的思想,使得代碼復(fù)用性和組織性更好,Web應(yīng)用的配置性和靈活性也越來(lái)越好。而數(shù)據(jù)訪(fǎng)問(wèn)也逐漸通過(guò)面向?qū)ο蟮姆绞絹?lái)替代直接的SQL訪(fǎng)問(wèn),出現(xiàn)了ORM(Object Relation Mapping)的概念。


除了MVC,類(lèi)似的設(shè)計(jì)思想還有MVP,MVVM等。


1.1.6. RESTful

在CGI時(shí)期,前后端通常是沒(méi)有做嚴(yán)格區(qū)分的,隨著解耦和的需求不斷增加,前后端的概念開(kāi)始變得清晰。前端主要指網(wǎng)站前臺(tái)部分,運(yùn)行在PC端、移動(dòng)端等瀏覽器上展現(xiàn)給用戶(hù)瀏覽的網(wǎng)頁(yè),由HTML5、CSS3、Java組成。后端主要指網(wǎng)站的邏輯部分,涉及數(shù)據(jù)的增刪改查等。


此時(shí),REST(Representation State Transformation)逐漸成為一種流行的Web架構(gòu)風(fēng)格。

REST鼓勵(lì)基于URL來(lái)組織系統(tǒng)功能,充分利用HTTP本身的語(yǔ)義,而不是僅僅將HTTP作為一種遠(yuǎn)程數(shù)據(jù)傳輸協(xié)議。一般RESTful有以下的特征:

域名和主域名分開(kāi)

api.example.com

example.com/api/

帶有版本控制

api.example.com/v1

api.example.com/v2

使用URL定位資源

GET /users 獲取所有用戶(hù)

GET /team/:team/users獲取某團(tuán)隊(duì)所有用戶(hù)

POST /users 創(chuàng)建用戶(hù)

PATCH/PUT /users 修改某個(gè)用戶(hù)數(shù)據(jù)

DELETE /users 刪除某個(gè)用戶(hù)數(shù)據(jù)

用 HTTP 動(dòng)詞描述操作

GET 獲取資源,單個(gè)或多個(gè)

POST 創(chuàng)建資源

PUT/PATCH 更新資源,客戶(hù)端提供完整的資源數(shù)據(jù) 是 DELETE 刪除資源

正確使用狀態(tài)碼

使用狀態(tài)碼提高返回?cái)?shù)據(jù)的可讀性

默認(rèn)使用 JSON 作為數(shù)據(jù)響應(yīng)格式

有清晰的文檔

點(diǎn)擊添加圖片描述(最多60個(gè)字)

1.1.7. 云服務(wù)

隨著時(shí)間的發(fā)展,Web的架構(gòu)越發(fā)復(fù)雜,負(fù)載均衡、數(shù)據(jù)庫(kù)分表、異地容災(zāi)、緩存、CDN、消息隊(duì)列等技術(shù)開(kāi)始應(yīng)用,增加了Web開(kāi)發(fā)和運(yùn)維的復(fù)雜度。同時(shí)云服務(wù)開(kāi)始逐漸發(fā)展,部署環(huán)境容器化,各個(gè)功能拆成微服務(wù)或是Serverless的架構(gòu)。

1.2. 計(jì)算機(jī)網(wǎng)絡(luò)

1.2.1. 計(jì)算機(jī)通信網(wǎng)的組成

計(jì)算機(jī)網(wǎng)絡(luò)由通信子網(wǎng)和資源子網(wǎng)組成。

其中通信子網(wǎng)負(fù)責(zé)數(shù)據(jù)的無(wú)差錯(cuò)和有序傳遞,其處理功能包括差錯(cuò)控制、流量控制、路由選擇、網(wǎng)絡(luò)互連等。

其中資源子網(wǎng):是計(jì)算機(jī)通信的本地系統(tǒng)環(huán)境,包括主機(jī)、終端和應(yīng)用程序等, 資源子網(wǎng)的主要功能是用戶(hù)資源配置、數(shù)據(jù)的處理和管理、軟件和硬件共享以及負(fù)載 均衡等。

計(jì)算機(jī)通信網(wǎng)就是一個(gè)由通信子網(wǎng)承載的、傳輸和共享資源子網(wǎng)的各類(lèi)信息的系統(tǒng)。

1.2.2. 通信協(xié)議

為了完成計(jì)算機(jī)之間有序的信息交換,提出了通信協(xié)議的概念,其定義是相互通信的雙方(或多方)對(duì)如何進(jìn)行信息交換所必須遵守的一整套規(guī)則。

協(xié)議涉及到三個(gè)要素,分別為:

語(yǔ)法:語(yǔ)法是用戶(hù)數(shù)據(jù)與控制信息的結(jié)構(gòu)與格式,以及數(shù)據(jù)出現(xiàn)順序的意義

語(yǔ)義:用于解釋比特流的每一部分的意義

時(shí)序:事件實(shí)現(xiàn)順序的詳細(xì)說(shuō)明

1.2.3. OSI七層模型

1.2.3.1. 簡(jiǎn)介

OSI(Open System Interconnection)共分為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話(huà)層、表示層、應(yīng)用層七層,其具體的功能如下。

1.2.3.2. 物理層

提供建立、維護(hù)和釋放物理鏈路所需的機(jī)械、電氣功能和規(guī)程等特性

通過(guò)傳輸介質(zhì)進(jìn)行數(shù)據(jù)流(比特流)的物理傳輸、故障監(jiān)測(cè)和物理層管理

從數(shù)據(jù)鏈路層接收幀,將比特流轉(zhuǎn)換成底層物理介質(zhì)上的信號(hào)

1.2.3.3. 數(shù)據(jù)鏈路層

在物理鏈路的兩端之間傳輸數(shù)據(jù)

在網(wǎng)絡(luò)層實(shí)體間提供數(shù)據(jù)傳輸功能和控制

提供數(shù)據(jù)的流量控制

檢測(cè)和糾正物理鏈路產(chǎn)生的差錯(cuò)

格式化的消息稱(chēng)為幀

1.2.3.4. 網(wǎng)絡(luò)層

負(fù)責(zé)端到端的數(shù)據(jù)的路由或交換,為透明地傳輸數(shù)據(jù)建立連接

尋址并解決與數(shù)據(jù)在異構(gòu)網(wǎng)絡(luò)間傳輸相關(guān)的所有問(wèn)題

使用上面的傳輸層和下面的數(shù)據(jù)鏈路層的功能

格式化的消息稱(chēng)為分組

1.2.3.5. 傳輸層

提供無(wú)差錯(cuò)的數(shù)據(jù)傳輸

接收來(lái)自會(huì)話(huà)層的數(shù)據(jù),如果需要,將數(shù)據(jù)分割成更小的分組,向網(wǎng)絡(luò)層傳送分組并確保分組完整和正確到達(dá)它們的目的地

在系統(tǒng)之間提供可靠的透明的數(shù)據(jù)傳輸,提供端到端的錯(cuò)誤恢復(fù)和流量控制

1.2.3.6. 會(huì)話(huà)層

提供節(jié)點(diǎn)之間通信過(guò)程的協(xié)調(diào)

負(fù)責(zé)執(zhí)行會(huì)話(huà)規(guī)則(如:連接是否允許半雙工或全雙工通信)、同步數(shù)據(jù)流以及當(dāng)故障發(fā)生時(shí)重新建立連接

使用上面的表示層和下面的傳輸層的功能

1.2.3.7. 表示層

提供數(shù)據(jù)格式、變換和編碼轉(zhuǎn)換

涉及正在傳輸數(shù)據(jù)的語(yǔ)法和語(yǔ)義

將消息以合適電子傳輸?shù)母袷骄幋a

執(zhí)行該層的數(shù)據(jù)壓縮和加密

從應(yīng)用層接收消息,轉(zhuǎn)換格式,并傳送到會(huì)話(huà)層,該層常合并在應(yīng)用層中

1.2.3.8. 應(yīng)用層

包括各種協(xié)議,它們定義了具體的面向擁護(hù)的應(yīng)用:如電子郵件、文件傳輸?shù)?/p>

點(diǎn)擊添加圖片描述(最多60個(gè)字)

1.2.3.9. 總結(jié)

低三層模型屬于通信子網(wǎng),涉及為用戶(hù)間提供透明連接,操作主要以每條鏈路( hop-by-hop)為基礎(chǔ),在節(jié)點(diǎn)間的各條數(shù)據(jù)鏈路上進(jìn)行通信。由網(wǎng)絡(luò)層來(lái)控制各條鏈路上的通信,但要依賴(lài)于其他節(jié)點(diǎn)的協(xié)調(diào)操作。

高三層屬于資源子網(wǎng),主要涉及保證信息以正確可理解形式傳送。

傳輸層是高三層和低三層之間的接口,它是第一個(gè)端到端的層次,保證透明的端到端連接,滿(mǎn)足用戶(hù)的服務(wù)質(zhì)量( QoS)要求,并向高三層提供合適的信息形式。 如果對(duì)滲透測(cè)試有具體詳細(xì)的需求可以找專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)處理解決防患于未然。

我們專(zhuān)注高端建站,小程序開(kāi)發(fā)、軟件系統(tǒng)定制開(kāi)發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開(kāi)發(fā)、各類(lèi)API接口對(duì)接開(kāi)發(fā)等。十余年開(kāi)發(fā)經(jīng)驗(yàn),每一個(gè)項(xiàng)目承諾做到滿(mǎn)意為止,多一次對(duì)比,一定讓您多一份收獲!

本文章出于推來(lái)客官網(wǎng),轉(zhuǎn)載請(qǐng)表明原文地址:https://www.tlkjt.com/experience/7613.html
推薦文章

在線(xiàn)客服

掃碼聯(lián)系客服

3985758

回到頂部