章节出错了,点此刷新,刷新后小编会在两分钟内校正章节内容,请稍后再试。
服务器:可以通过网页网站或者系统而为个人、客户以及公司等等,提供服务价值的,所在的那台设备是服务器。
例如:
windows2000/2003/2008/2012
统称服务操作系统(稳定漏洞少)
(windows7/Xp一般个人用企业级不用)
LinuxCentos(稳定漏洞少)
防止通过软件,系统,网站,网页等各种漏洞,经过扫描漏洞,窃取服务器的数据、信息,这就是网络安全的作用。
所以先理解服务器的原理,以及服务器的运转,安装和研究各个系统的漏洞给予保护。
主旨是:系统安全也就是针对服务器系统的安全,服务器的搭建,安装,运转。
如果系统的本身是安全的,但是系统里的某些网站有漏洞,如:Web:外部服务器、网页服务器。
网站是代码编译的,如何解决问题,用代码,系统的从安全角度学习代码安全也就是一个工作——代码审计。
软件代码审计是在一个编程中对源代码旨在发现错误、安全漏洞或违反编程约定的项目。它是防御性程序设计范例,它试图在软件发布之前减少错误。C、C++、php源代码是最常见的审计代码,因为许多高级语言,如Python,具有较少的潜在易受攻击的函数(例如,不检查边界的函数)——维基百科
代码检查是审计工作中最常用的技术手段,实际应用中,采用“自动分析+人工验证”的方式进行。通常检查项目包括:系统所用开源框架、源代码设计、错误处理不当、直接对象引用、资源滥用、API滥用、后门代码发现等,通常能够识别如下代码中的风险点:
跨站脚本漏洞、跨站请求伪装漏洞、SQL注入漏洞、命令执行漏洞、日志伪造漏洞、参数篡改、密码明文存储、配置文件缺陷、路径操作错误、资源管理、不安全的Ajax调用、系统信息泄露、调试程序残留、第三方控件漏洞、文件上传漏洞、远程命令执行、远程代码执行、越权下载、授权绕过漏洞。
审计整体思路:准备工作——获得源码
要审计当然要先获得相应的源码,最好有相关文档等,资料越多越易于理解源码。
安装网站
在本地搭建网站,一边审计一边调试。通过跟踪各种动态变化了解源码的作用。
网站结构
浏览源码文件夹,了解该程序的大致目录
看视频这么晚了,早点休息吧,晚安