php或者aspx技巧_你知道这些名词的真正含义吗

文章目录 [+]

黑客：源自英文hacker。
骇客与黑客不同，最初指热心于打算机技能，水平高超的电脑高手

骇客（黑帽子）：以个人意志为出发点，攻击网络或打算机

php或者aspx技巧_你知道这些名词的真正含义吗

白帽子：专门研究或从事网络安全的人，是提高网络、系统安全水平的紧张力量

（图片来自网络侵删）

灰帽子：介于两者之间

脚本：ASP即Active Server Pages，做事器端脚本环境，可用来创建动态交互式网页并建立强大的web运用程序

html（css、js、html）是标记措辞不是编程措辞

架构：C/S架构即做事器-客户机构造。
c/s构造常日采纳两层构造，做事器卖力数据管理，客户机卖力完成与用户的交互任务

B/S架构即浏览器-做事器构造。
统一了客户端，将功能实现的核心部分放在了做事器上，简化了系统的开拓，掩护和利用。
客户机上只须要装一个浏览器，做事器安装数据库，浏览器通过web做事器同数据库进行数据交互

CMS：内容管理系统

MD5：一种信息择要算法，可以产生出一个128位（16字节）的散列值（hash value），用于确保信息传输完备同等。
1996年后，该算法被证明存在弱点，可以被加以破解。
2004年，证明MD5算法无法办法碰撞，不适用于安全性验证，如ssl公开密钥认证或是数字署名等用场

肉鸡：被黑客入侵并长期空置的打算机或做事器

抓鸡：利用利用量大的程序漏洞，利用自动化的办法获取肉鸡的行为

漏洞：软件、硬件、协议等等的可利用安全毛病，可能被攻击者利用，对数据进行修改，掌握等

Webshell：通过Web入侵的一种脚本工具，可以根据此对网站做事进行一定程度上的掌握

一句话木马：短小精悍，功能强大，暗藏性非常好，在入侵中始终扮演者强大的浸染

提权：提高自己在做事器中的权限，就比如在windows中你本身登任命的用户便是guest，然后通过提权之后，就变成超级管理员权限，拥有了管理windows的所有权限。
提权是黑客的专业名词，一样平常用于网站入侵和系统入侵中

水平越权：能看到统一权限下的其他用户的内容

垂直越权：向上获取更高层的权限

后门：在信息安全领域，后门时指绕过安全掌握而获取程序或系统访问权的方法。
后门的最紧张的目的便是方便往后再次秘密进入或者掌握系统

端口：是英文“port”意译，可以认为是设备与外界通讯互换的出口。
端口可分为虚拟端口和物理端口，个中虚拟端口指打算机内部或交流机路由器内的端口，不可见。
例如打算机中的80、21、23端口。
物理端口又称为接口，是可见端口，如RJ45端口。
电话利用的RJ11端口也属于物理端口

网关：网关（Gateway）又称间接网见连接器、协议转换器。
网关在网络层以上实现网络互联，是繁芜的网络互联设备，仅用于两个高层协议不同的网络互联。
网关既可以用与广域网互联，也可以用于局域网互联

跳板（vps）：为了隐蔽自己的地址，利用已经被掌握的机器来攻击其他目标，让别人无法查找的自己的位置

旁站：即同做事器下的网站

旁站入侵：即同做事器下的网站入侵。
入侵后可以通过提权跨目录等手段拿到目标网站的权限

C段：IP地址是有分段的，比如1.1.1.1末了一个1是C段，如1.1.1.0--1.1.1.255这个C段为255个IP地址；B段便是1.1.0.0--1.1.255.255中间有65535个IP地址；A段为1.0.0.0--1.255.255.255

保留地址：169.254.x.x

如果你的主机利用了DHCP功能自动得到一个IP地址,那么当你的DHCP做事器发生故障，或相应韶光太长而超出了一个别系规定的韶光，Wingdows系统会为你分配这样一个地址。
如果你创造你的主机IP地址是一个诸如此类的地址，很不幸，十有八九是你的网络不能正常运行了。

10.x.x.x、172.16.x.x～172.31.x.x、192.168.x.x

私有地址，这些地址被大量用于企业内部网络中。
一些宽带路由器，也每每利用192.168.1.1作为缺省地址。
私有网络由于不与外部互连，因而可能利用随意的IP地址。
保留这样的地址供其利用是为了避免往后接入公网时引起地址混乱。
利用私有地址的私有网络在接入Internet时,要利用地址翻译(NAT)，将私有地址翻译成公用合法地址。
在Internet上，这类地址是不能涌现的。

做事：指电脑中，须要各种做事以支持各种功能，他在后台运行，也可以手动开启或者关闭某些做事以达到管理相应功能的目的

权限：是指某个特定的用户具有特定的系统资源利用权力，像是文件夹，特定系统指令的利用或存储量的限定。
常日，系统管理员,或者在网络中的网络管理员，对某个特定资源的利用分配给用户不同的权限，系统软件则自动地逼迫实行这些权限

批处理文件：批处理,顾名思义便是进行批量的处理。
批处理文件是扩展名为·bat 或·cmd的文本文件，包含一条或多条命令，由DOS或Windows系统内嵌的命令阐明器来阐明运行

渗透测试：渗透测试，是为了证明网络防御按照预期操持正常运行而供应的一种机制。
不妨假设，你的公司定期更新安全策略和程序，时时给系统打补丁，并采取了漏洞扫描器等工具，以确保所有补丁都已打上。
如果你早已做到了这些，为什么还要请外方进行审查或渗透测试呢?由于，渗透测试能够独立地检讨你的网络策略，换句话说，便是给你的系统安了一双眼睛。
而且，进行这类测试的，都是探求网络系统安全漏洞的专业人士

黑盒测试：在授权的情形下，仿照黑客的攻击方法和思维办法，来评估计算机网络系统可能存在的安全风险

白盒测试：与黑盒测试正好相反，测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料乃至网站或其它程序的代码片段，也能够与单位的其它员工(发卖、程序员、管理者……)进行面对面的沟通。
这类测试的目的是仿照企业内部雇员的越权操作

特点

充满寻衅与刺激——不达目的不罢休

思路与履历的积累每每决定成败

渗透测试是方向于保护的

APT攻击：即高等可持续威胁攻击,也称为定向威胁攻击,指某组织对特定工具展开的持续有效的攻击活动。
这种攻击活动具有极强的暗藏性和针对性,常日会利用受传染的各种介质（usb接口）、供应链（给目标单位做做事）和社会工程学等多种手段履行前辈的、持久的且有效的威胁和攻击，极强的暗藏性，潜伏期长，持续性强，目标性强

静态网站：是指全部由HTML(标准通用标记措辞的子集)代码格式页面组成的网站,所有的内容包含在网页文件中。
网页上也可以涌现各种视觉动态效果,如GIF动画、FLASH动画、滚动字幕等，而网站紧张是静态化的页面和代码组成,一样平常文件名均以htm、html、shtml等为后缀

动态网站：动态网站并不是指具有动画功能的网站,而是指网站内容可根据不同情形动态变更的网站,一样平常情形下动态网站通过数据库进行架构。
动态网站除了要设计网页外，还要通过数据库和编程序来使网站具有更多自动的和高等的功能。

动态网站表示在网页一样平常因此asp,jsp,php,aspx等技能，而静态网页一样平常是HTML(标准通用标记措辞的子集)结尾,动态网站做事器空间配置要比静态的网页哀求高，用度也相应的高,不过动态网页利于网站内容的更新，适宜企业建站。
动态是相对付静态网站而言的

伪静态网站

伪静态是相对真实静态来讲的，常日我们为了增强搜索引擎的友好面，都将文章内容天生静态页面，但是有的朋友为了实时的显示一些信息。
或者还想利用动态脚本办理一些问题。
不能用静态的办法来展示网站内容。
但是这就丢失了对搜索引擎的友好面。
怎么样在两者之间找个中间方法呢，这就产生了伪静态技能。
伪静态技能是指展示出来的因此html一类的静态页面形式，但实在是用ASP一类的动态脚本来处理的

伪静态:URL重写办法，写的看起来是个静态页面。
并不是真的静态。

Location:重定向用户到另一个页面,可识别身份认证后许可访问

Cookie:客户端发回给做事器证明用户状态的信息(头:值成对涌现）

Referer:发起新要求之前用户位于哪个页面，做事器基于此头的安全限定很随意马虎被修正绕过

Host:被访问的的完全URL中的主机名称

状态码

状态码的职责是当客户端向做事器发送要求时，描述返回的要求结果。
借助状态码，用户可以知道做事器端是正常处理了要求还是涌现了缺点。

状态码的种别：

种别缘故原由短语

1XX Informational（信息性状态码）接管的要求正在处理

2XX Success（成功状态码）要求正常处理完毕

3XX Redirection（重定向状态码）须要进行附加操作以完成要求

4XX Client Error（客户端缺点状态码）做事器无法处理要求

5XX Server Error（做事器缺点状态码）做事器处理要求出错

2XX——表明要求被正常处理了

1、200 OK：要求已正常处理。

2、204 No Content：要求处理成功，但没有任何资源可以返回给客户端，一样平常在只须要从客户端往做事器发送信息，而对客户端不须要发送新信息内容的情形下利用。

3、206 Partial Content：是对资源某一部分的要求，该状态码表示客户端进行了范围要求，而做事器成功实行了这部分的GET要求。
相应报文中包含由Content-Range指定例模的实体内容。

3XX——表明浏览器须要实行某些分外的处理以精确处理要求

4、301 Moved Permanently：资源的uri已更新，你也更新下你的书签引用吧。
永久性重定向，要求的资源已经被分配了新的URI，往后应利用资源现在所指的URI。

5、302 Found：资源的URI已临时定位到其他位置了，姑且算你已经知道了这个情形了。
临时性重定向。
和301相似，但302代表的资源不是永久性移动，只是临时性性子的。
换句话说，已移动的资源对应的URI将来还有可能发生改变。

6、303 See Other：资源的URI已更新，你是否能临时按新的URI访问。
该状态码表示由于要求对应的资源存在着另一个URL，应利用GET方法定向获取要求的资源。
303状态码和302状态码有着相同的功能，但303状态码明确表示客户端应该采取GET方法获取资源，这点与302状态码有差异。

当301,302,303相应状态码返回时，险些所有的浏览器都会把POST改成GET，并删除要求报文内的主体，之后要求会自动再次发送。

7、304 Not Modified：资源已找到，但未符合条件要求。
该状态码表示客户端发送附带条件的要求时（采取GET方法的要求报文中包含If-Match，If-Modified-Since，If-None-Match，If-Range，If-Unmodified-Since中任一首部）做事端许可要求访问资源，但因发生要求未知足条件的情形后，直接返回304.。

8、307 Temporary Redirect：临时重定向。
与302有相同的含义。

4XX——表明客户端是发生缺点的缘故原由所在。

9、400 Bad Request：做事器端无法理解客户端发送的要求，要求报文中可能存在语法缺点。

10、401 Unauthorized：该状态码表示发送的要求须要有通过HTTP认证（BASIC认证，DIGEST认证）的认证信息。

11、403 Forbidden：不许可访问那个资源。
该状态码表明对要求资源的访问被做事器谢绝了。
（权限，未授权IP等）

12、404 Not Found：做事器上没有要求的资源。
路径缺点等。

5XX——做事器本身发生缺点

13、500 Internal Server Error：貌似内部资源出故障了。
该状态码表明做事器端在实行要求时发生了缺点。
也有可能是web运用存在bug或某些临时故障。

14、503 Service Unavailable：抱歉，我现在正在忙着。
该状态码表明做事器暂时处于超负载或正在停机掩护，现在无法处理要求

渗透测试流程

明确目标

确定范围