Web服务组件简介

Web服务组件

Web开发语言

• PHP
• ASP
• .NET
• JSP
• 等

Web服务系统

1. Windows
   代表：Windows2003，Windows2008
   常见漏洞：“永恒之蓝”（MS17-010），MS08-067（过时但很经典）
2. Linux
   代表：Ubuntu、CentOS、Redhat
   常见漏洞：脏牛漏洞、sudo漏洞

Web数据库

• 数据库是按照数据结构来组织、存储、管理数据的“仓库”

• 结构化查询语言：简称SQL，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新、管理（增删改查）信息

• 典型代表：Mysql、MSSQL、Access、Oracle、Sqlite等

• 数据库管理软件：Phpmyadmin、Navicat(推荐)等

Web服务软件（又称中间件）

• Web服务器也称HTTP服务器，它是响应来自浏览器的HTTP请求，并发送网页文件/资源的软件
• 当访问者在浏览器的地址文本框输入一个URL（统一资源定位系统），或者单击某个链接，会生成一个网页请求
• 常见中间件：

IIS：Internet信息服务器，一款Windows自带的中间件。是微软提供的Internet服务器软件，包括Web、FTP、SMTP等服务器组件
相关漏洞：IIS短文件泄露、IIS解析漏洞

Apache：是Apache软件基金会的一个开放源码的网页服务器，世界使用排名第一，适合大型网站
相关漏洞：日志文件漏洞、解析漏洞

Nginx：目前最热的中间件，静态页面性能远超Apache，高性能HTTP和反向代理服务器，也是一个IMAP、POP3、SMTP服务器
相关漏洞：整数溢出漏洞、解析漏洞

Tomcat：开源轻量web应用服务器，中小型你系统和并发少的需求下用，开发和调试JSP程序的首选
相关漏洞：弱口令、远程代码执行、本地提权

Weblogic：java反序列化漏洞、SSRF服务器端请求伪造

Web安全现状分析

1. Web已经在企业信息化、电子商务、电子政务中等得到广泛的应用， Web的迅速发展同时，也带来了众多的安全威胁。
2. 网络攻击重心已转向应用层，Web已成为黑客首选攻击目标，针对Web的攻击和破坏不断增长，据高盛统计数据表明，75%的攻击是针对Web应用的。
3. 然而，对于Web应用安全领域，很多企业还没有充分的认识、没有做好准备；许多开发人员也没有相应的经验，这给了黑客可乘之机。

2017年CNVD 收录漏洞按影响对象类型分类统计

Web常见架构组合

• LAMP：Linux+Apache+Mysql+PHP；适用于大型网站架构、稳定性高、常见于企业网站
• WAMP：Windows+Apache+Mysql+PHP；适用于中小型网站架构，易管理，常见于教育机构、事业单位
• 其他组合还有：PHP+IIS；ASP+IIS；.NET+IIS;JSP+Tomcat

常见Web攻击动机

恶作剧；关闭站点拒绝服务；篡改网页内容；免费浏览收费内容；盗窃用户隐私信息；身份伪造登录；网页挂马等

OWASP TOP 10

借鉴前辈的总结：

1. OWASP Top 10 简介
2. OWASP Top 10 详解

所有知识为个人总结向，仅供参考