ToB企服应用市场:ToB评测及商务社交产业平台

标题: 安全见闻二 [打印本页]

---

作者: 王國慶    时间: 2025-1-1 03:25
标题: 安全见闻二
声明！
        学习视频来自B站up主 **泷羽sec** 有爱好的师傅可以关注一下，如涉及侵权立即删除文章，笔记只是方便各位师傅的学习和探究，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有爱好的小伙伴可以点击下面链接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)



Web 应用步伐构成

• 前端：用户界面，通常由 HTML、CSS 和 JavaScript 编写。
  
• 后端：服务器端逻辑，处理业务逻辑、数据库交互等。
  
• 数据库：存储应用步伐数据，可以是关系型或非关系型。
  
• 服务器：托管应用步伐的物理或捏造机器。
  

前端

• HTML：结构化内容，可能受到点击挟制攻击。
  
• CSS：样式信息，可能受到 CSS 注入攻击。
  
• JavaScript：客户端逻辑，可能受到 XSS 攻击（DOM 型、反射型、存储型）。
  

代码库和框架

• JQuery：简化 HTML 文档遍历、事件处理、动画和 Ajax 交互。
  
• Bootstrap：前端框架，用于开发响应式和移动优先的 Web 项目。
  
• Element UI：基于 Vue.js 的桌面端组件库。
  
• Vue：渐进式 JavaScript 框架。
  
• React：用于构建用户界面的 JavaScript 库。
  
• Angular：由 Google 维护的前端平台和应用框架。
  

后端语言

• PHP：广泛用于 Web 开发，可能存在反序列化、SQL 注入、命令注入等漏洞。
  
• Java：强类型语言，用于构建企业级应用。
  
• Python：多用途语言，用于 Web 开发（如 Django、Flask）。
  
• Go (Golang)：Google 开发的编程语言，用于构建高性能服务。
  
• C/C+++：系统级编程，也可以用于 Web 后端。
  
• Lua：轻量级脚本语言，常用于嵌入式脚本。
  
• Node.js：基于 Chrome V8 引擎的 JavaScript 运行情况。
  
• Ruby：用于 Web 开发的动态语言，如 Ruby on Rails。
  

数据库

• 关系型数据库：如 MySQL、PostgreSQL、SQL Server、Oracle、SQLite。
  
• 非关系型数据库：如 MongoDB、CouchDB、Neo4j、Redis。
  

服务器步伐

• Apache：流行的 Web 服务器软件。
  
• Nginx：高性能的 HTTP 和反向代理服务器。
  
• IIS (Internet Information Services)：微软的 Web 服务器。
  
• Tengine：由淘宝网发起的 Web 服务器。
  
• Tomcat：Java Servlet 容器。
  
• WebLogic：Oracle 的企业级应用服务器。
  

埋伏漏洞

• 信息泄露：敏感信息可能通过错误消息或日志泄露。
  
• XSS：跨站脚本攻击。
  
• CSRF (Cross-Site Request Forgery)：跨站哀求伪造。
  
• SSRF (Server-Side Request Forgery)：服务器端哀求伪造。
  
• 反序列化漏洞：不安全的反序列化可能导致远程代码执行。
  
• SQL 注入：通过注入恶意 SQL 语句来利用数据库。
  
• 命令注入：在服务器端执行恶意命令。
  
• 服务端模板注入：在服务器端模板中注入恶意代码。
  
• 跨域漏洞：跨域资源共享（CORS）配置不当。
  
• 访问控制：不准确的权限检查可能导致未授权访问。
  

安全最佳实践

• 输入验证：对全部用户输入举行验证和清理。
  
• 输出编码：对输出到欣赏器的内容举行编码，防止 XSS。
  
• 利用 HTTPS：保护数据传输过程中的安全性。
  
• 安全头：配置 HTTP 安全头，如 Content Security Policy (CSP)。
  
• 定期更新：保持软件和依赖项的最新状态。
  
• 安全审计：定期举行代码检察和安全测试。
  
• 错误处理：避免在生产情况中泄露错误细节。
  
• 访问控制：确保准确的权限和脚色管理。
  

脚本语言

• Lua：轻量级、高性能的脚本语言，广泛用于游戏开发和嵌入式系统。
  
• PHP：重要用于服务器端的脚本语言，也是Web开发的重要语言之一。
  
• Go (Golang)：由Google开发，实用于并发步伐的编程语言，也可以用于编写脚本。
  
• Python：多功能的编程语言，以其清晰的语法和强大的库而闻名，常用于脚本编写。
  
• JavaScript：Web开发的核心语言，用于实现客户端的动态结果。
  

脚本性步伐

• Node.js：基于Chrome V8引擎的JavaScript运行情况，答应JavaScript在服务器端运行。
  

宏病毒

• 宏病毒：利用Office应用步伐（如Word、Excel、PowerPoint）的宏功能编写的恶意脚本，可以自动执行恶意利用。
  

系统脚本语言

• Batch (.bat)：Windows利用系统中的批处理脚本，用于自动化简单的任务。
  
• PowerShell (.ps1)：Windows PowerShell脚本，用于执行更复杂的任务和自动化。
  

特定范畴脚本语言

• AutoLISP (LISP)：用于CAD软件的脚本语言，可以自动化计划任务。
  
• AutoLT3D：3D建模软件AutoCAD的脚本语言。
  

其他脚本语言

• ActionScript：用于Adobe Flash的脚本语言。
  
• AppleScript：苹果利用系统的脚本语言，用于自动化任务。
  

安全性思量

• 恶意软件编写：任何编程语言都可能被用于编写恶意软件，包括脚本语言。这包括但不限于病毒、蠕虫、木马等。
  
• 宏病毒：通过Office宏功能传播的恶意脚本，可以导致数据泄露、系统破坏等。
  
• 脚本病毒：利用脚本语言编写的病毒，可能通过Web、电子邮件或其他方式传播。
  

防范措施

• 安全意识：提高对恶意软件的鉴戒性，不随意执行未知来源的脚本或步伐。
  
• 软件更新：定期更新利用系统和应用步伐，以修复已知的安全漏洞。
  
• 防病毒软件：利用可靠的防病毒软件，定期扫描系统。
  
• 宏安全设置：在Office中禁用或限定宏的执行，除非必要。
  
• 代码检察：定期检察代码，特别是那些可能被公开访问的脚本和步伐。
  

BIOS 病毒

• BIOS病毒：直接感染盘算机的BIOS，这种病毒非常稀有，但一旦感染，很难清除。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4