aspxphp差别技巧_Web渗透测试第一天根本入门概念名词

关系：通过dns做事我们可以很快的定位到用户的位置，然后给用户分配最佳cdn节点，但是这种调度办法存在一个问题，例如，当我 是北京联通的用户但是利用的却是深圳电信的ldns的话，调度做事器会给我分配到深圳电信的cdn做事器，这样就产生了缺点的调度。

常日也称为域名系统投毒或DNS缓存投毒。
它是利用虚假Internet地址更换掉域名系统表中的地址，进而制造毁坏。
当网络用户在带有该虚假地址的页面中进行征采，以访问某链接时，网页浏览器由于受到该虚假条款标影响而打开了不同的网页链接。
在这种情形下，蠕虫、木马、浏览器挟制等恶意软件就可能会被下载到本地用户的电脑上。

DNS挟制又称域名挟制，是指在挟制的网络范围内拦截域名解析的要求，剖析要求的域名，把审查范围以外的要求放行，否则返回假的IP地址或者什么都不做使要求失落去相应，厥后果便是对特定的网络不能访问或访问的是假网址。
这类攻击一样平常通过恶意软件来变动终端用户TCP/IP设置，将用户指向恶意DNS做事器，该DNS做事器会对域名进行解析，并终极指向钓鱼网站等被攻击者操控的做事器。

域名挟制便是在挟制的网络范围内拦截域名解析的要求，剖析要求的域名，把审查范围以外的要求放行，否则直接返回假的IP地址或者什么也不做使得要求失落去相应，厥后果便是对特定的网址不能访问或访问的是假网址。
一旦您的域名被挟制，用户被引到假冒的网站进而无法正常浏览网页，用户可能被诱骗到冒牌网站进行登录等操作导致透露隐私数据。

针对DNS的DDoS攻击通过掌握大批僵尸网络利用真实DNS协议栈发起大量域名查询要求，利用工具软件假造源IP发送海量DNS查询，发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS查询要求。
发送大量造孽域名查询报文引起DNS做事器持续进行迭代查询，从而达到较少的攻击流量花费大量做事器资源的目的。

所有放大攻击都利用了攻击者和目标Web资源之间的带宽花费差异，由于每个机器人都哀求利用欺骗性IP地址打开DNS解析器，该IP地址已变动为目标受害者的真实源IP地址，然后目标会从DNS解析器吸收相应。
为了创建大量流量，攻击者以尽可能从DNS解析器天生相应的办法布局要求。
结果，目标吸收到攻击者初始流量的放大，并且他们的网络被虚假流量壅塞，导申谢绝做事。

asp php aspx jsp javaweb pl py cgi 等

不同的脚本措辞的编写规则不一样，程序产生的漏洞自然也不一样（代码审计）。

不同的脚本措辞的编写规则不一样，程序产生的漏洞自然也不一样（代码审计）。

当第一次攻击之后，会留一个端口让攻击者下次从这个端口进行攻击

网页、线程插入、扩展、C/S后门

方便下次攻击进入

管道（攻击通道）

玩法，免杀

1. 网站源码：分脚本类型，分运用方向

2. 操作系统：windows linux

3. 中间件（搭建平台）：apache iis tomcat nginx 等

4. 数据库：access mysql mssql oracle sybase db2 postsql等

Web运用一样平常是指B/S架构的通过HTTP/HTTPS协议供应做事的统称。
随着互联网的发展，Web运用已经融入了我们的日常生活的各个方面。
在目前的Web运用中，大多数运用不都是静态的网页浏览，而是涉及到做事器的动态处理。
如果开拓者的安全意识不强，就会导致Web运用安全问题层出不穷。

我们一样平常说的Web运用攻击，是指攻击者通过浏览器或者其他的攻击工具，在URL或者其他的输入区域(如表单等)，向Web做事器发送分外的要求，从中创造Web运用程序中存在的漏洞，进而操作和掌握网站，达到入侵者的目的。

在做安全测试的时候，我们要从web页面层开始，由于较为方便，如果从操作系统进行，是十分不随意马虎的。

SQL 注入、上传、XSS、代码实行、变量覆盖、逻辑漏洞、反序列化等

SQL注入

内核漏洞