声明:学习视频来自b站up主 泷羽sec,如涉及侵权马上删除文章
感谢泷羽sec 团队的教学
视频地址:安全见闻(2)_哔哩哔哩_bilibili
1. 软件程序代码
软件程序是一种计算机程序,用于计算机计算和其他可编程设备,其实就是我们常说的代码。不论是什么软件程序都是由代码组成的。比如网页设计,网站开发,软件开发,软件工程,其实本质就是代码,不用刻意区分。
2.WEB程序
(1)构成:前端-后端-数据库-服务器
(2)流程:前端输入URL,请求到后端执行,后端登陆。这时候就要调用数据库数据,而数据库放在服务器上面。
前端语言
HTML ,CSS,JavaScript(前端三剑客,重中之重)
代码库
JQuery,Bootstrap,element ui
作用:我们可以将一些代码封装成库,让它方便的调用,提高代码复用的效率
框架
vue,react,angular
注意:框架无论怎么写都是基于本质的三种语言:HTML,CSS,JavaScript。如果单纯从纯粹的JavaScript去分析很浪费时间,一般通过框架去分析XSS
3.漏洞
(1)前端:
HTML ,CSS,JavaScript
漏洞:信息泄露,XSS,CSRF,点击劫持,访问控制,web缓存漏洞,跨域漏洞,请求走私
(2)后端:
漏洞:信息泄露,XSS,CSRF,SSRF,反序列化漏洞,命令注入漏洞,SQL注入漏洞,服务端模版注入,跨域漏洞,访问控制
(3)数据库:
类型:
1.关系型数据库:MySQL,SQLserver,access,postgresql
2.关系型数据库:MongoDB,couchdb,neo4j,redis
漏洞:SQL注入漏洞,XSS,命令注入漏洞等
(4)服务器程序:
Apache,NGINX,iis,tengine,Tomcat,weblogic
漏洞:信息泄露,文件上传漏洞,文件解析漏洞,目录遍历,访问控制