Web 安全学习笔记
前言
随着 Web 技术的日益成熟,非 Web 服务在互联网上的暴露面逐渐减少,当前互联网安全的核心主要集中在 Web 安全领域。为了在大数据时代保障自身系统的安全,避免"裸奔"状态,深入理解 Web 安全机制显得尤为重要。
在学习 Web 安全的过程中,许多知识点往往相对零散。如果没有清晰的脉络作为参考,学习者容易陷入碎片化知识的泥潭,增加学习负担。本笔记旨在整理关键知识、技术思路与实践方法,形成一份结构化的学习文档。本文档涵盖网络协议、漏洞攻防、内网渗透及防御技术等核心内容,为入门者提供系统的参考框架。
1. Web 技术与安全观演化
1.1 Web 技术演化
Web 技术从早期的静态 HTML 页面发展到如今复杂的单页应用(SPA)和微服务架构。这一过程中,前端交互逻辑增强,后端数据处理复杂度提升,攻击面也随之扩大。理解 Web 演化的历史有助于理解现代漏洞产生的根源。
1.2 Web 攻防技术演化
早期黑客主要利用简单的缓冲区溢出或脚本注入。随着 WAF(Web 应用防火墙)的普及,攻击手段转向更隐蔽的混淆、绕过技巧以及业务逻辑漏洞。防御方则从单纯的网络层防护转向应用层深度检测与行为分析。
1.3 安全观
建立正确的安全观是安全从业者的基石。安全不是绝对的状态,而是风险管理的持续过程。应遵循最小权限原则、纵深防御原则,并认识到没有完美的系统,只有不断迭代的防御体系。
2. 计算机网络与协议基础
2.1 网络基础
理解 OSI 七层模型与 TCP/IP 四层模型是网络安全的基础。物理层、数据链路层负责传输介质与帧;网络层处理 IP 寻址与路由;传输层确保端到端连接;应用层直接面向用户服务。
2.2 UDP 协议
用户数据报协议(UDP)是无连接的,速度快但不可靠。在 DNS 查询、视频流媒体中广泛使用。安全方面,UDP 常用于 DDoS 攻击中的放大反射攻击,需关注端口开放情况。
2.3 TCP 协议
传输控制协议(TCP)提供可靠连接,通过三次握手建立,四次挥手断开。SYN Flood 攻击利用握手过程中的资源消耗进行拒绝服务。理解 TCP 标志位(SYN, ACK, FIN, RST)对流量分析至关重要。
2.4 DHCP 协议
动态主机配置协议用于自动分配 IP 地址。DHCP Spoofing 攻击可伪造服务器分配恶意网关,导致中间人攻击。内网环境中需开启 DHCP Snooping 等防护机制。
2.5 路由算法
路由协议如 OSPF、BGP 决定了数据包路径。路由劫持可导致流量被重定向至恶意节点。了解 BGP 劫持原理对于理解大型网络攻击具有重要意义。
2.6 域名系统
DNS 将域名解析为 IP。DNS 缓存投毒、DNS 隧道等技术常被用于 C2 通信或数据窃取。安全运维需监控异常 DNS 请求。
2.7 HTTP 标准
超文本传输协议是 Web 通信的基础。请求方法(GET, POST, PUT, DELETE)、状态码(200, 403, 500)及 Header 信息包含大量敏感数据。理解 HTTP 报文结构是进行抓包分析的前提。
2.8 HTTPS
HTTP over SSL/TLS 提供了加密传输。证书验证、密钥交换过程是安全的关键点。中间人攻击可能通过自签名证书欺骗用户。需确保证书链完整且受信任。
2.9 SSL/TLS
安全套接字层/传输层安全协议。版本演进从 SSLv3 到 TLS 1.2/1.3。已知漏洞如 POODLE、BEAST 促使版本升级。禁用弱加密套件是基本加固要求。
2.10 IPsec
IP 安全协议在网络层提供加密认证。常用于 VPN 构建。配置不当可能导致密钥泄露或隧道被攻破。
3. 信息收集
3.1 域名信息
WHOIS 查询可获取注册人信息。子域名枚举是发现隐藏资产的第一步。常用工具包括 Sublist3r、Amass 等。
3.2 端口信息
端口扫描揭示开放服务。Nmap 是行业标准工具。区分全连接扫描与 SYN 扫描以规避日志记录。
