首页 > 其他分享 >安全见闻(2)——开阔眼界,不做井底之蛙

安全见闻(2)——开阔眼界,不做井底之蛙

时间:2024-10-18 18:46:21浏览次数:10  
标签:Web 井底之蛙 语言 开阔眼界 数据库 漏洞 见闻 前端 潜在

内容预览 ≧∀≦ゞ

安全见闻(2)


声明

学习视频来自B站UP主 泷羽sec,如涉及侵权马上删除文章
笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负


Web程序构成与潜在漏洞

在现代网络安全的攻防体系中,Web程序的安全性是非常重要的一环。Web应用的前后端构成->数据库管理->服务器配置等各个层面,都可能存在潜在的漏洞。

前端语言及潜在漏洞

Web程序的前端通常使用三大基础语言:HTML、CSS和JavaScript。这些语言的特性和使用方式直接影响到Web应用的安全性。

前端语言

  • HTML → 点击劫持
  • CSS → 注入攻击
  • JavaScript → 常见漏洞包括:
    • XSS (跨站脚本攻击):分为DOM型、反射型和存储型。
    • 点击劫持:利用透明框架欺骗用户点击恶意内容。
    • 请求走私:通过篡改HTTP请求来绕过安全验证。

前端框架与代码库

  • JQueryBootstrapElementUI:这些前端代码库通过封装常见功能,简化了开发过程,但如果库版本过旧或使用不当,也可能引入安全问题。

  • Vue.jsReactAngular:这些框架虽然能提升开发效率和代码组织性,但其底层仍然依赖HTML、CSS和JavaScript。因此,任何框架中产生的安全问题都可以回溯到前端三大基础语言,如XSS攻击。

前端潜在漏洞

前端应用如果没有适当的安全防护,容易暴露在各种攻击之下:

  • 信息泄露:不当的输入输出处理可能导致敏感信息泄露。
  • XSS:通过注入恶意脚本攻击用户。
  • CSRF (跨站请求伪造):攻击者通过欺骗用户浏览器发送恶意请求。
  • 点击劫持:欺骗用户点击隐藏的恶意链接。
  • 访问控制漏洞:未授权用户获取敏感资源。
  • Web缓存漏洞:缓存管理不当可能泄露敏感数据。
  • 跨域漏洞:不正确的跨域资源共享(CORS)配置可能导致安全问题。
  • 请求走私:篡改请求以绕过验证。

后端语言及潜在漏洞

后端语言处理业务逻辑和数据库操作,不同语言有其独特的安全风险。

常见后端语言

  • PHP → 常见漏洞:反序列化漏洞、SQL注入漏洞、命令注入漏洞等。
  • JavaPythonGoC/C++LuaNode.jsRuby:这些后端语言各有其特性,但都可能出现与输入验证、用户权限管理等相关的安全问题。

协议问题

后端开发中涉及多种协议,特别是请求走私攻击,直接与协议处理方式有关。理解HTTP协议的机制对于防御此类攻击至关重要。

后端潜在漏洞

  • 信息泄露:服务器返回的调试信息、日志等可能泄露关键信息。
  • XSS:后端处理不当也可能引入XSS风险。
  • CSRF:后端没有充分防范CSRF令牌时容易被利用。
  • SSRF (服务器端请求伪造):攻击者通过服务器发送恶意请求。
  • 反序列化漏洞:特定语言的对象反序列化时容易被攻击利用,尤其是PHP。
  • SQL注入漏洞:通过操纵SQL查询,攻击者可执行未经授权的数据库操作。
  • 命令注入漏洞:未对用户输入进行正确的过滤或验证,导致执行系统命令。
  • 服务端模板注入:注入恶意代码片段至服务器模板中。
  • 跨域漏洞:后端对CORS的错误配置。
  • 访问控制漏洞:不当的访问权限管理。

数据库及潜在漏洞

数据库是Web应用的重要组成部分,安全问题常常出现在数据处理过程中,尤其是输入验证和查询操作中。

数据库分类

  1. 关系型数据库
    • MySQL
    • SQL Server
    • Access
    • PostgreSQL
  2. 非关系型数据库
    • MongoDB
    • CouchDB
    • Neo4j
    • Redis

数据库潜在漏洞

  • SQL注入:通过操纵查询字符串,攻击者能够对数据库执行未授权操作。
  • XSS:从数据库中获取的未经过滤的用户输入可能引发XSS攻击。
  • 命令注入:通过数据库调用系统命令,可能导致服务器被远程控制。

服务器程序及潜在漏洞

服务器程序是Web应用的核心,它们负责处理用户请求、执行业务逻辑、管理数据流等。如果服务器配置不当或漏洞未修复,则可能成为攻击者的目标。

常见服务器程序

  • Apache
  • Nginx
  • IIS
  • Tengine
  • Tomcat
  • WebLogic

服务器程序潜在漏洞

  • 信息泄露:敏感配置文件或日志信息可能被泄露。
  • 文件上传漏洞:未经验证的文件上传功能可能导致恶意代码被执行。
  • 文件解析漏洞:文件解析错误可能导致代码注入。
  • 目录遍历:攻击者通过非法路径访问到服务器的敏感文件。
  • 访问控制漏洞:服务器未严格限制用户权限,导致未授权的访问。

结语

Web程序的安全问题错综复杂,涵盖了前端、后端、数据库、服务器等多个层面。面对如此多样的挑战,唯有不断拓展视野,才能更好地掌握应对各种威胁的知识与技能。安全之路如学海无涯,只有通过持续学习和实践,才能明确前进的方向,保持前行的动力。

标签:Web,井底之蛙,语言,开阔眼界,数据库,漏洞,见闻,前端,潜在
From: https://blog.csdn.net/2301_79518550/article/details/143060223

相关文章

  • 屁股思考见闻
    这是乐子人收集的一些对话。“太↑强↓辣↑~~~”“阴阳哥在阴阳什么”“狗叫哥在狗叫什么”“我现在已经过了思维敏感期了,理论上你们得解题比我强才是”“可是我们没有屁股”“不,我们有屁股,但是我们的屁股不会思考”“来看王校长的homo不等式”“齐次化联立都不会,菜鸡~~~”......
  • 北上见闻录
    北上见闻录解除管控以来,这是近两年第一次出远门。一声令下,yq“无声无息”中就消失了。其实年初刚解封那会儿,订了去南方惠州的卧铺,后来莫名其妙地车次停运。 下午6点......
  • 痞子衡职场经验与见闻感悟分享 - 索引
    大家好,我是痞子衡,是正经搞技术的痞子。本系列痞子衡给大家分享的是职场经验与见闻感悟。痞子衡在嵌入式行业也摸打滚爬了不少年,有一些个人经验可以给大家参考。......
  • 第四节 被看见闻思修
    闻:1、所谓机会,是你努力之后被看见别人给你的2、显得(很优秀),看起来(很优秀)【自信,标签】3、被看见,不是投资取巧,也不是顺其自然,而是适当规划(重点)4、人设(是给别人留下什么印......
  • 【见闻录】聊聊补码
    前言聊补码的前因是由于昨晚做某W的笔试时碰到了一道题,给我干不会了:十进制的-6.6875,转化为二进制补码是___________;(1位符号位,4位整数位,4位小数位)点击查看答案1.100101......
  • 一个 SAP 开发工程师在 SAP 德国总部出差的见闻系列 2:Walldorf 附近的小旅馆
    本系列第一篇文章一个SAP开发工程师在SAP德国总部出差的见闻系列1:出差≠公费旅游发出来之后,有读者留言:德国房子怎么这么矮啊?这是因为,SAP德国总部,坐落在距离法兰......
  • 一个 SAP 开发工程师在 SAP 德国总部出差的见闻系列 1:出差 ≠ 公费旅游
    SAP德国总部是SAP软件的诞生和发源地,也是不少国内SAP从业者心中的圣地,对这个圣地充满了神秘感。Jerry作为一个开发工程师在SAP成都研究院工作了15年(见我的文章......