51Testing软件测试论坛

标题: 入门之后这些网络安全测试的名词要记住 [打印本页]

作者: 草帽路飞UU 时间: 2022-12-2 15:23
标题: 入门之后这些网络安全测试的名词要记住
二级域名

　　改变www顶级域名为其他形式，使之转移到不同网站的域名命名方式，如：

https://graph.baidu.com #百度识图

https://map.baidu.com #百度地图

https://pan.baidu.com #百度网盘

#其中：graph,map,pan为二级域名

　　注：多级域名（比二级域名还要多的域名格式）。

　　多级域名的收集意义：很多情况下主域名无法攻破，可以尝试攻破其他多级域名。

　　DNS协议

　　域名系统（服务）协议，将域名解析为IP地址。

　　本地Hosts与DNS的关系

　　DNS解析先在本地Hosts文件中寻找对应IP，如果本地Hosts文件找不到，则在网络上进行查找。故可以修改本地Hosts文件来达到转移解析IP的效果，实现DNS劫持。

　　打开Hosts文件：

C:\Windows\System32\drivers\etc\hosts

　　添加你想要修改的内容，格式：IP域名。

[attach]145671[/attach]

刷新本地DNS缓存

ipconfig /flushdns

　　对DNS解析进行干扰之后，需要刷新本地的DNS缓存，这是必须要做的步骤！

　　CDN（内容分发网络）

　　CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速

度和命中率。CDN的关键技术主要有内容存储和分发技术。

　　特点：根据地区就近分发节点，减小网络延迟。

　　脚本语言

　　可以理解为是网站后端的执行语言，常见的脚本语言类型有asp、php、aspx、jsp、py、pl、cgi等。

　　后门

　　本意是指一座建筑背面开设的门，通常比较隐蔽，为进出建筑的人提供方便和隐蔽。

　　在信息安全领域，后门是指绕过安全控制而获取对程序或系统访问权的方法，后门的最主要目的就是方便以后再次秘密进入或者控制系统。

　　Web组成架构模型

　　网站源码：脚本类型，决定哪些漏洞存在，哪些漏洞不可能存在。

　　操作系统：Windows、Linux，决定了攻击方式。

　　中间件（搭建平台）：Apache、iis、Tomcat、Nginx等。

　　数据库：access、MySQL、MsSQL、Oracle、db2、PostSQL、sybase。

　　Web漏洞类型

　　Web源码漏洞：SQL注入、文件上传漏洞、xss、代码执行、变量覆盖、逻辑漏洞、反序列化。

　　Web中间件漏洞

　　Web数据库漏洞

　　Web操作系统漏洞

　　其他第三方对应漏洞

　　App或PC应用结合类

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)