web安全

一 安全问题

黑客 关键词：hacked by

网络搜索技术： intitle:内容 （搜索包含标题的网页）

目前中文互联网的网站安全隐患 严重！！
表现为被入侵后挂入暗链。
网站被黑 73%是植入暗链，15%是页面篡改，12%木马

黑客的目标：某网站的控制权

webshell介绍：

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。
顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。

二 xss介绍

名称：跨站脚本
危害：盗取用户信息，钓鱼等。

原理：网站根据cookie来识别用户，黑客盗取cookie之后即可伪装成用户。
分类：
存储型xss，
反射型xss，
dom型xss

CSRF漏洞

效果：被转账，被发表恶意评论

点击劫持漏洞

也被称为UI-覆盖攻击。这个词首次出现在2008年，是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。它是通过覆盖不可见的框架误导受害者点击。
虽然受害者点击的是他所看到的网页，但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。
这种攻击利用了HTML中**< iframe>标签的透明属性。
就像一张图片上面铺了一层透明的纸一样，你看到的是黑客的页面，但是其实这个页面只是在底部，而你真正点击的是被黑客透明化的另一个网页。一个简单的点击劫持例子，就是当你点击了一个不明链接之后，自动关注了某一个人的博客或者订阅了视频。**
假如我在优酷发布了很多视频，想让更多的人关注它，于是我们准备了一个页面

URL跳转漏洞

原理：

场景:

sql注入（漏洞）

命令注入 漏洞

命令注入攻击的常见模式为：仅仅需要输入数据的场合，却伴随着数据同时输入了恶意代码，而装载数据的系统对此并未设计良好的过滤过程，导致恶意代码也一并执行，最终导致信息泄露或者正常数据的破坏。其中最常见的一类攻击行为就是针对数据库系统的SQL（结构化查询语言）注入。常见的SQL语句构成为：对符合特定条件的数据（某些行的某些列）实施增、删、改、查等操作。其中需要符合的条件就是所谓“数据”（如学生数据表中性别为女，或年龄大于10岁等），对这些数据的选取以及实施的某种操作就是“指令”。成功的SQL注入攻击就在于，在输入数据的时候混杂了其它SQL子句，最终拼接成的SQL语句语法是正确的（数据库系统对此毫无防备）并得到执行。

文件操作漏洞

文件上传漏洞，可以上传一个webshell
任意文件下载漏洞