网络安全学习笔记01之网安基础

学习笔记 主要内容为信息安全/web安全/渗透测试

域名

域名是一串用点分隔的名字组成的Internet上某台计算机或计算机组的名称，在数据传输时对计算机进行定位。

二级域名分类

DNS域名系统

域名系统（Domain Name System）。它是一个域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。DNS使用UDP端口53。对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。 当我们访问域名时，系统会首先自动从Hosts文件中寻找对应的IP地址，一旦找到，系统会立即打开对应网页，如果没有找到，则系统会再将网址提交DNS域名解析服务器进行IP地址的解析。

CDN：Content Delivery Network，即内容分发网络。是构建在数据网络上的一种分布式的内容分发网。可以提高系统的响应速度，也可以一定程度的拦截/f防御攻击

常见域名攻击：DNS ddos 域名劫持 DNS劫持 缓存投毒

WEB基础

WEB 源码类对应漏洞：SQL 注入，上传，XSS，代码执行，变量覆盖，逻辑漏洞，反序列化等 WEB 中间件对应漏洞：未授权访问，变量覆盖 WEB 数据库对应漏洞：弱口令，权限提升 WEB 系统层对应漏洞：提权，远程代码执行

渗透测试

渗透测试，又称“白帽黑客”测试，是出于增强安全性的目的，利用与恶意攻击者相同的技术、策略和手段，对给定组织的安全性进行调查、评估和测试 渗透测试者是训练有素、技能丰富，能够了解系统弱点并能予以定位的安全专家。通过采取一套综合技术、行政和物理手段的程序抵御系统中的漏洞：

技术手段：虚拟专用网（VPN）、加密协议、入侵检测系统、入侵防御系统、访问控制列表、生物识别技术、智能卡技术以及其他提高安全性的装置； 行政手段包括应用政策、规章加强规则； 物理手段包括电缆锁、设备锁、报警系统等。

脚本语言

脚本语言又被称为扩建的语言,或者动态语言,是一种编程语言,用来控制软件应用程序。

asp php aspx jsp javaweb pl py cgi 等 脚本（asp，php，jsp）（动态脚本语言） html（scc，js，html）（静态脚本语言）

静态脚本不会与数据库进行交互，是直接在本地浏览器上运行，且速度很快，但是可以直接查看到源码；

动态脚本是会与数据库发生交互的，是运行在web服务器上，显示的是执行结果（在浏览器中也可以运行，源码可以看到）