web安全系列：入侵的途径

大家好，接下来的很长一段时间我都会介绍和web安全有关的知识，欢迎大家关注和转发。

话不多说，我们首先来看看今天的主题----入侵的途径。当然，今天介绍的都是针对web网站的常用手法和技巧。

不可否认当今的web已经步入了3.0的时代，它的强大功能已经不亚于一般的桌面软件了。强大和复杂是相互关联的，而复杂又和不可控、不完全掌握紧密相连，这就导致了web成为新一轮攻击热点。那么，一个强大的web网站是由哪些东西组成的呢?答案是数据库、编程语言、web容器和设计者。

众所周知，数据库是一个网站的核心所在，它的价值不言而喻。所以也成为了黑客们的重点攻击目标。一种攻击方式就是SQL注入，它是因为没有将用户的输入进行筛选而直接丢给数据库程序执行而产生的。

web容器，简单说就是服务器。我们知道一个服务器上面可能不仅仅挂着一个网站，一些别的网站也可能挂在这个服务器上。这也带来了一些问题，一种问题是自己的服务器安全配置没有做到位，进而给了黑客一些可乘之机，从而被入侵。另一种情况就是你的网站做的很强大，黑客们找不到漏洞。不过，和你住一栋楼的家伙就没有你这么厉害的技术了，碰巧这也被黑客发现了，黑客就转而攻击这个网站，再针对你们之间的联系发送一些欺诈信息，从而控制你的网站，这就是所谓的C段入侵。

设计者是谁？人！正所谓人非圣贤，孰能无过？往往决定黑客能否入侵成功的关键就是人！人可能因为自己的粗心而导致web配置的漏洞，又或是被人欺骗进而导致web被干掉了，常见的社会工程学攻击就是针对人的。

以上就是一些常见的针对各个web配件的攻击。但是这只是冰山一角，还有很多攻击方式比如文件上传漏洞、XSS等，我就不一一列举了，后面大多都会涉及。

以上就是今天的内容了，如果有什么不对的地方请在评论指出，我会在第一时间改正。如果大家有什么想说的，也可以在评论区留言。

微人言公众 非攻IT

（以上内容仅供学习交流使用，遵守法律人人有责。）