随着網絡的發達,越來越多的網站已悄悄崛起,在這裡我們給大家準備講解下滲透測試服務中的基礎點講解内容,讓大家更好的了解這個安全滲透測試的具體知識點和詳情過程。主要目的就是為了在網站或app上線前進行全面的滲透測試檢測模拟黑客的手法對網站進行全面的漏洞檢測,并找出漏洞進行修複,防止上線後被黑客所利用導緻帶來更大的損失,隻有這樣才能讓網站安全穩定的運作,所謂知己知彼 百戰不殆。
今天所講的是基礎點知識(第一點開始)
1.1. Web技術演化
1.1.1. 靜态頁面
在網際網路最初開始的時候,Web網站的主要内容是靜态的,由文字和圖檔組成,制作和表現形式也是以表格為主。當時的使用者行為也非常簡單,僅僅是浏覽網頁。
1.1.2. 多媒體階段
随着技術的不斷發展,音頻、視訊、Flash等多媒體技術誕生了。多媒體的加入使得網頁變得更加生動形象,網頁上的互動也給使用者帶來了更好的體驗。
1.1.3. CGI階段
漸漸的,多媒體已經不能滿足人們的請求,于是CGI(Common Gateway Interface)應運而生。CGI定義了Web伺服器與外部應用程式之間的通信接口标準,是以Web伺服器可以通過CGI執行外部程式,讓外部程式根據Web請求内容生成動态的内容。
在這個時候,各種程式設計語言如PHP/ASP/JSP也逐漸加入市場,基于這些語言可以實作更加子產品化的、功能更強大的應用程式。
1.1.4. Ajax
在開始的時候,使用者送出整個表單後才能擷取結果,使用者體驗極差。于是Ajax(Asynchronous Java And XML)技術逐漸流行起來,它使得應用在不更新整個頁面的前提下也可以獲得或更新資料。這使得Web應用程式更為迅捷地回應使用者動作,并避免了在網絡上發送那些沒有改變的資訊。
1.1.5. MVC
随着Web應用開發越來越标準化,出現了MVC等思想。MVC是Model/View/Control的縮寫,Model用于封裝資料和資料處理方法,視圖View是資料的HTML展現,控制器Controller負責響應請求,協調Model和View。
Model,View和Controller的分開,是一種典型的關注點分離的思想,使得代碼複用性群組織性更好,Web應用的配置性和靈活性也越來越好。而資料通路也逐漸通過面向對象的方式來替代直接的SQL通路,出現了ORM(Object Relation Mapping)的概念。
除了MVC,類似的設計思想還有MVP,MVVM等。
1.1.6. RESTful
在CGI時期,前後端通常是沒有做嚴格區分的,随着解耦和的需求不斷增加,前後端的概念開始變得清晰。前端主要指網站前台部分,運作在PC端、移動端等浏覽器上展現給使用者浏覽的網頁,由HTML5、CSS3、Java組成。後端主要指網站的邏輯部分,涉及資料的增删改查等。
此時,REST(Representation State Transformation)逐漸成為一種流行的Web架構風格。
REST鼓勵基于URL來組織系統功能,充分利用HTTP本身的語義,而不是僅僅将HTTP作為一種遠端資料傳輸協定。一般RESTful有以下的特征:
- 域名和主域名分開
- api.example.com
- example.com/api/
- 帶有版本控制
- api.example.com/v1
- api.example.com/v2
- 使用URL定位資源
- GET /users 擷取所有使用者
- GET /team/:team/users擷取某團隊所有使用者
- POST /users 建立使用者
- PATCH/PUT /users 修改某個使用者資料
- DELETE /users 删除某個使用者資料
- 用 HTTP 動詞描述操作
- GET 擷取資源,單個或多個
- POST 建立資源
- PUT/PATCH 更新資源,用戶端提供完整的資源資料 是 DELETE 删除資源
- 正确使用狀态碼
- 使用狀态碼提高傳回資料的可讀性
- 預設使用 JSON 作為資料響應格式
- 有清晰的文檔
- 點選添加圖檔描述(最多60個字)
1.1.7. 雲服務
随着時間的發展,Web的架構越發複雜,負載均衡、資料庫分表、異地容災、緩存、CDN、消息隊列等技術開始應用,增加了Web開發和運維的複雜度。同時雲服務開始逐漸發展,部署環境容器化,各個功能拆成微服務或是Serverless的架構。
1.2. 計算機網絡
1.2.1. 計算機通信網的組成
計算機網絡由通信子網和資源子網組成。
其中通信子網負責資料的無差錯和有序傳遞,其處理功能包括差錯控制、流量控制、路由選擇、網絡互連等。
其中資源子網:是計算機通信的本地系統環境,包括主機、終端和應用程式等, 資源子網的主要功能是使用者資源配置、資料的處理和管理、軟體和硬體共享以及負載 均衡等。
計算機通信網就是一個由通信子網承載的、傳輸和共享資源子網的各類資訊的系統。
1.2.2. 通信協定
為了完成計算機之間有序的資訊交換,提出了通信協定的概念,其定義是互相通信的雙方(或多方)對如何進行資訊交換所必須遵守的一整套規則。
協定涉及到三個要素,分别為:
- 文法:文法是使用者資料與控制資訊的結構與格式,以及資料出現順序的意義
- 語義:用于解釋比特流的每一部分的意義
- 時序:事件實作順序的詳細說明
1.2.3. OSI七層模型
1.2.3.1. 簡介
OSI(Open System Interconnection)共分為實體層、資料鍊路層、網絡層、傳輸層、會話層、表示層、應用層七層,其具體的功能如下。
1.2.3.2. 實體層
- 提供建立、維護和釋放實體鍊路所需的機械、電氣功能和規程等特性
- 通過傳輸媒體進行資料流(比特流)的實體傳輸、故障監測和實體層管理
- 從資料鍊路層接收幀,将比特流轉換成底層實體媒體上的信号
1.2.3.3. 資料鍊路層
- 在實體鍊路的兩端之間傳輸資料
- 在網絡層實體間提供資料傳輸功能和控制
- 提供資料的流量控制
- 檢測和糾正實體鍊路産生的差錯
- 格式化的消息稱為幀
1.2.3.4. 網絡層
- 負責端到端的資料的路由或交換,為透明地傳輸資料建立連接配接
- 尋址并解決與資料在異構網絡間傳輸相關的所有問題
- 使用上面的傳輸層和下面的資料鍊路層的功能
- 格式化的消息稱為分組
1.2.3.5. 傳輸層
- 提供無差錯的資料傳輸
- 接收來自會話層的資料,如果需要,将資料分割成更小的分組,向網絡層傳送分組并確定分組完整和正确到達它們的目的地
- 在系統之間提供可靠的透明的資料傳輸,提供端到端的錯誤恢複和流量控制
1.2.3.6. 會話層
- 提供節點之間通信過程的協調
- 負責執行會話規則(如:連接配接是否允許半雙工或全雙工通信)、同步資料流以及當故障發生時重建立立連接配接
- 使用上面的表示層和下面的傳輸層的功能
1.2.3.7. 表示層
- 提供資料格式、變換和編碼轉換
- 涉及正在傳輸資料的文法和語義
- 将消息以合适電子傳輸的格式編碼
- 執行該層的資料壓縮和加密
- 從應用層接收消息,轉換格式,并傳送到會話層,該層常合并在應用層中
1.2.3.8. 應用層
- 包括各種協定,它們定義了具體的面向擁護的應用:如電子郵件、檔案傳輸等
- 點選添加圖檔描述(最多60個字)
1.2.3.9. 總結