No.4 笔记 | 探索网络安全:揭开Web天下的隐秘防线
https://i-blog.csdnimg.cn/direct/c86f5de0b06c44618ba8a75ac3842736.png在这个数字期间,网络安全无处不在。了解Web安全的基本知识,不仅能保护我们自己,也能帮助我们在技术上更进一步。让我们一起深入探索Web安全的天下,掌握那些必备的安全知识!
1. 客户端与WEB应用安全
[*] 前端漏洞:
[*]定义:用户直接接触的部分,易受攻击。
[*]例子:XSS(跨站脚本攻击)、点击劫持。
[*]防范:输入验证、输出编码。
[*] 后端漏洞:
[*]定义:服务器处理数据的部分。
[*]例子:SQL注入、命令注入。
[*]防范:利用参数化查询、ORM框架。
2. Cookie与Session机制
[*] Cookie:
[*]存储位置:客户端。
[*]用途:跟踪会话状态。
[*]限制:巨细限制(一样平常不超过4KB)。
[*] Session:
[*]存储位置:服务器。
[*]用途:存储用户敏感信息,如登录状态。
[*]优点:安全性高,克制敏感数据袒露。
3. 同源策略
[*]定义:协议、域名、端口相同才气交互。
[*]紧张性:防止跨域攻击,保护用户数据。
[*]例外:CORS(跨域资源共享)允许安全的跨域请求。
4. 浏览器安全技术
[*] 沙箱技术:
[*]功能:限制不受信任代码的实行情况。
[*]目的:保护系统不受恶意代码影响。
[*] 恶意网站拦截:
[*]机制:通过黑名单克制访问已知恶意网站。
5. OWASP TOP 10
漏洞范例描述防范步伐访问控制崩溃用户越权访问敏感信息。严格权限管理。敏感数据袒露未加密的数据被盗取。利用强加密算法。SQL注入攻击者插入恶意SQL语句。参数化查询、ORM框架。 6. 不安全的设计
[*]漏洞产生缘故起因:
[*]忽视关键安全设计。
[*]业务逻辑漏洞(如支付逻辑漏洞)。
[*]防范步伐:
[*]在设计阶段思量安全性。
[*]举行代码检察和测试。
7. 安全设置不当
[*]常见错误:
[*]利用默认设置、未更新软件。
[*]案例分析:
[*] 在某些现实案例中,企业由于未修改Tomcat的默认设置,导致攻击者乐成入侵服务器。这些攻击通常包括:
[*]利用默认凭据访问管理界面,上传恶意的Web应用程序。
[*]通过示例应用程序的已知漏洞获取服务器权限。
[*]利用未受保护的管理接口举行设置更改,导致服务停止或数据泄漏。
8. 利用含有已知漏洞的组件
[*]风险:
[*]利用过期组件可能导致被攻击。
[*]防范步伐:
[*]定期查抄和更新组件,利用安全库。
9. 认证崩溃
[*]常见题目:
[*]弱密码、会话ID袒露。
[*]防范步伐:
[*]实施多因素认证,限制登录尝试次数。
10. 软件和数据完整性失败
[*]概念:
[*]不受信任的组件可能导致完整性题目。
[*]防护步伐:
[*]利用数字署名验证软件泉源。
11. 不足的日志记录和监控
[*]题目:
[*]缺乏有效的监控,难以发现攻击。
[*]改进步伐:
[*]记录全部紧张事件,利用日志分析工具。
12. 服务端请求伪造(SSRF)
[*]成因:
[*]服务器未对目的地点举行验证。
[*]危害:
[*]可举行端口扫描、读取敏感数据。
[*]防范步伐:
[*]限制请求的目的地点范围。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]