ctf基本入门,从基本知识开始,本文是作者的学习计划和笔记,欢迎参考和交流
文章目录
前言
随着一系列新型的互联网产品的产生,基于Web环境的互联网应用越来越广泛
Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。
黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对Web应用安全的关注度也逐渐升温。
提示:以下是本篇文章正文内容,下面案例可供参考
一、Web应用程序的发展历程
示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。
1、静态内容阶段
在这个时候,Web 由大量的静态 HTML 文档组成,其中大多是一些学术论文。Web 服务器可以被看作是支持超文本的共享文件服务器
2、CGI 程序阶段
Web 服务器增加了一些编程 API。通过这些 API 编写的应用程序,可以向客户端提供一些动态变化的内容。这里相当于客户不仅可以看,还可以调用其中的程序。
也就是放置在服务器上的一段可执行程序。作为HTTP服务器的时候,客户端可以通过GET或者POST请求来调用这可执行程序。
3、脚本语言阶段
服务器端出现了 ASP、PHP、JSP、ColdFusion 等支持 session 的脚本语言技术,浏览器端出现了 Java Applet、JavaScript 等技术。使用这些技术,可以提供更加丰富的动态内容。
允许客户端的JavaScript脚本为局部页面提供请求服务,然后可以在无需回到服务器情况下动态刷新部分页面。
4、瘦客户端应用阶段
在服务器端出现了独立于 Web 服务器的应用服务器。
同时出现了 Web MVC 开发模式,各种 Web MVC 开发框架逐渐流行,并且占据了统治地位。基于这些框架开发的 Web 应用,通常都是瘦客户端应用,因为它们是在服务器端生成全部的动态内容。
5、RIA 应用阶段
出现了多种 RIA(Rich Internet Application)技术(丰富互联网程序,具有高度互动性、丰富用户体验以及功能强大的客户端),大幅改善了 Web 应用的用户体验。
其具有丰富的数据模型,丰富的界面元素。
应用最为广泛的 RIA 技术是 DHTML+Ajax。Ajax 技术支持在不刷新页面的情况下动态更新页面中的局部内容。同时诞生了大量的 Web 前端 DHTML 开发库。
6、移动 Web 应用阶段
在这个阶段,出现了大量面向移动设备的 Web 应用开发技术。除了 Android、iOS、Windows Phone 等操作系统平台原生的开发技术之外,基于 HTML5 的开发技术也变得非常流行。
从以上可以看出,Web 从最初其设计者所构思的主要支持静态文档的阶段,逐渐变得越来越动态化。Web 应用的交互模式,变得越来越复杂,web开发是大势所趋。
二、常见安全隐患说明
首先我们都知道,黑客分为两种,一种是社工类黑客,一种是技术类黑客,其中社工类黑客最常见也最防不胜防。
并且,大多数web应用程序并不安全,还是要特别注意以下漏洞,这也是我们需要特别防范的,这里只是进行一个介绍,后期会针对这些漏洞进行讲解。
1、不完善的身份验证信息
这类漏洞主要包括应用程序登录机制中的各种缺陷,可能会使攻击者破解保密性不强的密码、发动蛮力攻击或者完美避开登录。
2、不完善的访问控制措施
这类漏洞涉及的情况包括:应用程序无法为数据和功能提供全面保护,攻击者可以查看其他用户保存在服务器里面的敏感信息,或者执行一些特权操作。
3、SQL注入
通过这个漏洞,攻击者提交专门设计的输入,干扰应用程序与后端数据库的交互活动。攻击者能够从应用程序里提取任何数据、破坏其逻辑结构,或者在数据库服务器上执行命令。
4、跨站点脚本
攻击者可以利用这一漏洞攻击应用程序的其他用户、访问其信息、代表他们执行未授权的工作,或者向其发动攻击。
5、信息泄露
攻击者利用应用程序泄露的敏感信息,通过有缺陷的错误处理或者其他攻击行为攻击应用程序。
比如可以通过访问的网页,爬取网站信息。
6、跨站点请求伪造
攻击者可以利用这类漏洞,诱使用户无意中是用自己的用户权限地应用程序执行操作。恶意Web站点可以利用该漏洞,通过受害用户与应用程序进行交互,执行用户并不打算执行的操作。
web 服务器(特卡--CPU资源被占用)-->用户量访问量大-->web服务代码中有病毒代码信息(可能外部植入)
7、弱口令
攻击者可以利用弱口令(系统登录口令的设置强度不高,容易被攻击者猜到或破解)漏洞,获取合法用户的权限,从而能够查看用户的敏感信息,还有可以进行钓鱼等操作,甚至可以破解管理员的密码从而能够拿到管理员的权限,通过查找网站是否还有其它危害较大的漏洞,进而控制整个站点。
8、任意文件上传
攻击者的主要是把一些恶意代码上传到要攻击的系统中。然后,攻击者只需要找到一种方法来让代码被执行即可完成攻击,极大可能造成主机系统失陷、文件系统或数据库过载、被作为攻击后端系统的跳板机等。
9、远程代码执行漏洞
攻击者直接向后台服务器远程注入操作系统命令或代码,从而控制后台系统,盗取各种信息。
其实,我们的网页出现问题,被攻击,很大一部分的原因是:
1、不成熟的安全意识
2、独立开发(应用程序和第三方组件自定义或拼接在一起,很可能包含独有的缺陷)
欺骗性的简化(编写功能性代码与编写安全代码存在巨大的差异
4、逐渐发展起来的威胁(随着网络安全的发展,黑客攻击也在提升)
5、资源与时间的限制(把功能放在主要位置忽视掉不明显的安全问题)
6、技术上强其所难(开发人员沿用之前的技术来满足新的需求,没有什么大的变化)
7、对功能的需求不断增强(添加一些不在能力范围之内或者不必要的功能,实际上增大了该站点的受攻击可能性)
……
总结
最后,这里提供各种提交漏洞,学习的网站:
1、腾讯:
http://security.tencent.com
2、网易:
http://aq.163.com
3、京东:
http://security.jd.com
4、百度:
http://sec.baidu.com
5、Sebug:
http://sebug.net/
6、补天:
https://www.butian.com
漏洞银行:
https://www.bugbank.cn
7、freebuf:
http://www.freebuf.com/
8、wooyun 镜像:
http://www.anquan.us/
9、全球黑客攻防学习站点:
https://link-base.org/
10、安全圈:
https://www.anquanquan.info/
小伙伴们可以学习,看一看。
版权归原作者 Autumn_Hibiscus 所有, 如有侵权,请联系我们删除。