20159206《网络攻防实践》第五周学习总结

20159206《网络攻防实践》第五周学习总结

教材学习内容总结

本周教材主要学习了第十一章和第十二章。
第十一章主要讲了WEB应用程序的安全攻防。首先介绍了WEB应用程序和WEB应用体系结构，WEB应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态，通常以浏览器支持的语言所编写。WEB体系结构包括浏览器、WEB服务器、WEB应用程序、数据库、传输协议等部分组成。然而WEB体系结构的每个组件都存在安全弱点，容易遭受各种攻击。进行针对WEB应用的攻击需要首先进行信息情报的收集，对目标WEB应用服务进行发现和剖析。WEB服务器软件是攻击者实施攻击的首要目标之一。目前安全最薄弱的环节在于WEB应用程序，这些程序编码质量和测试水平都比较低。WEB站点还面临着针对敏感数据内容的攻击威胁。接下来教材介绍了SQL注入攻击，主要是利用WEB应用程序数据层存在的输入验证不完整的安全漏洞。接着介绍了SQL注入攻击的步骤、常用工具、攻击实例和防范措施。
第十二章主要介绍了WEB浏览器的安全攻防。教材首先讲了浏览器技术的发展历程和受到的安全威胁。接着说明了网页木马的本质就是浏览器渗透攻击。继而介绍了网页木马的检测、分析技术以及应用实例。

视屏学习内容总结

这次学习了视屏16-20，介绍了数据库评估、WEB应用代理以及模糊测试工具的使用。诸如HexorBase等工具可以破解mysql数据库。接下来视频详细介绍了Burp Suite集成平台，用于攻击WEB应用程序。最后视频介绍了一些模糊测试工具的使用。

学习进度条

第五周进度

上周目标完成情况良好
教材：第十一、十二章
视频：16-20