IT评测·应用市场-qidao123.com

标题: 安全见闻（2）——开阔眼界，不做井底之蛙 [打印本页]

---

作者: 宁睿    时间: 2024-11-1 17:59
标题: 安全见闻（2）——开阔眼界，不做井底之蛙
安全见闻二：Web程序构成与潜在漏洞

---

声明

学习视频来自B站UP主 泷羽sec,如涉及侵权立刻删除文章
条记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则结果自负

---

导语

在现代网络安全的攻防体系中，Web程序的安全性是非常紧张的一环。Web应用的前后端构成->数据库管理->服务器设置等各个层面，都可能存在潜在的漏洞。

---

前端语言及潜在漏洞

Web应用的前端通常使用三大底子语言：HTML、CSS和JavaScript。这些语言的特性和使用方式直接影响Web应用的安全性。
前端语言

• HTML
  
  
  
  • 潜在漏洞：点击劫持（Clickjacking）           点击劫持是一种攻击方式，攻击者通过在网页中嵌套一个透明的框架（iframe），诱骗用户点击恶意链接或按钮。了解HTML布局对于防范此类攻击至关紧张。
    
  
  
• CSS
  
  
  
  • 潜在漏洞：注入攻击（Injection Attacks）           注入攻击使用CSS的特性，将恶意代码注入到页面中，可能影响页面的显示效果或用户的交互体验。学习如何安全使用CSS属性是防范此类攻击的关键。
    
  
  
• JavaScript
  
  
  
  • 常见漏洞：
    
    
    
    • XSS (跨站脚本攻击)               XSS攻击允许攻击者向网站注入恶意脚本，可能导致用户数据泄露。根据注入方式不同，XSS可分为DOM型、反射型和存储型。
      
    • 点击劫持               同上，使用透明框架欺骗用户点击潜伏的恶意链接。
      
    • 请求走私（HTTP Smuggling）               攻击者通过窜改HTTP请求，绕过服务器的安全验证。这种攻击依赖于对HTTP协议的深入明白。
      
    
    
  
  

前端框架与代码库

代码库的概念和用途

代码库是将常用的代码片段、功能或组件封装起来，便于在不同项目中复用。
使用代码库可以节流开发时间，提高代码的可维护性和可重用性。
盛行的JavaScript框架

• Vue.js、React、Angular       这些框架通过组件化和模块化提拔了开发效率和代码组织性。
  固然它们能够帮助开发者高效构建复杂应用，但其底层依赖于HTML、CSS和JavaScript。
  因此，框架中产生的安全问题往往与这些底子语言有关，常见的威胁包罗跨站脚本攻击（XSS）。
  

常见的代码库

• jQuery：一个快速、小巧且功能丰富的JavaScript库，简化了HTML文档遍历、事件处理、动画和Ajax交互。
  
• Bootstrap：一个用于开发响应式和预制前端项目的盛行框架，提供了预计划的组件和CSS预处理器。
  
• Element UI：基于Vue.js的桌面端组件库，常用于快速搭建企业级的前端界面。
  

前端潜在漏洞

前端应用若未实施得当的安全步伐，可能袒露于多种攻击之下：

• XSS
         攻击者在网页中注入恶意脚本，当用户欣赏该页面时，脚本被执行，可能导致用户信息泄露等。
  
• CSRF (跨站请求伪造)
         攻击者诱骗用户欣赏器在已登录的网站上发送恶意请求，可能执行未授权操作。
  
• 点击劫持
         欺骗用户点击潜伏的恶意链接，可能导致用户执行伤害操作。
  
• 访问控制漏洞
         系统中的访问权限设置存在缺陷，导致攻击者访问、修改或删除受保护的资源。
  
• Web缓存漏洞
         不当的缓存管理可能泄露敏感数据，例如用户信息和文件。
  
• 跨域漏洞
         例如跨站脚本（XSS）攻击，跨源资源共享（CORS）绕过，JSONP 漏洞，跨站请求伪造（CSRF）
  
• 请求走私
         使用了 HTTP 协议中请求和响应的解析和处理方式的不一致性，攻击者通过有造特定的恶意请求，以欺骗服务器和署理服务器，从而绕过安全机制，执行未经授权的操作。
  

后端语言及潜在漏洞

后端语言负责处理业务逻辑和数据库操作，不同语言具有独特的安全风险。
常见后端语言

• PHP
  常见漏洞：反序列化漏洞、SQL注入、下令注入等。
  
• Java、Python、Go、C/C++、Lua、Node.js、Ruby
  这些后端语言各有特性，但都可能面临与输入验证和用户权限管理相关的安全问题。
  

协议问题

后端开发涉及多种协议，尤其是请求走私攻击与协议处理方式密切相关。
   明白HTTP协议机制对于学习此类攻击至关紧张。
  后端潜在漏洞

• 信息泄露
         服务器返回的调试信息、日志等可能泄露关键信息，例如错误信息和内部布局。
  
• XSS
         后端处理不当也可能引入XSS风险，确保数据在输出前经过得当过滤。
  
• CSRF
         后端没有充分防范CSRF令牌时容易被使用，需加强令牌验证。
  
• SSRF (服务器端请求伪造)
         攻击者使用服务器发送恶意请求，可能导致内部网络被攻击。
  
• 反序列化漏洞
         特定语言的对象反序列化容易被攻击，尤其是PHP，Python，Java。
  
• SQL注入漏洞
         通过操纵SQL查询，攻击者可执行未经授权的数据库操作，确保使用参数化查询以避免此类攻击。
  
• 下令注入漏洞
         未对用户输入进行得当过滤或验证，可能导致执行系统下令，需严酷验证输入。
  
• 文件包罗漏洞
         攻击者通过操纵应用程序的文件包罗功能来加载和执行任意文件，这可能包罗服务器上的敏感文件或远程恶意代码。
  
• 服务端模板注入
         注入恶意代码片段至服务器模板中，影响渲染效果。
  
• 跨域漏洞
         后端对CORS的错误设置，可能导致敏感数据被泄露。
  
• 访问控制漏洞
         不当的访问权限管理，导致未授权用户访问敏感资源。
  

数据库及潜在漏洞

数据库是Web应用的紧张构成部分，安全问题常发生在数据处理过程中，特别是输入验证和查询操作。
数据库分类

• 关系型数据库：
  
  
  
  • MySQL
    
  • SQL Server
    
  • Access
    
  • PostgreSQL
    
  
  
• 非关系型数据库：
  
  
  
  • MongoDB
    
  • CouchDB
    
  • Neo4j
    
  • Redis
    
  
  

数据库潜在漏洞

• SQL 注入漏洞       攻击者通过有造特殊的 SQL 语句，绕过身份验证，执行非授权操作。
  
• 跨站脚本攻击(XSS)漏洞       使用恶意脚本攻击 Web 服务器，行而影响数据库。
  
• 数据库缓冲区溢出漏洞       使用数据库缓冲区溢出，可能导致数据库不可用或数据泄露。
  
• 数据库索引损坏漏洞       损坏数据库索引，粉碎数据库完整性和一致性。
  
• 数据库日志注入漏洞       注入恶意日志代码，导致数据库被攻击和监听。
  

服务器程序及潜在漏洞

服务器程序是Web应用的焦点，负责处理用户请求、执行业务逻辑和管理数据流。如果服务器设置不当或存在漏洞，可能成为攻击者的目标。
常见服务器程序

• Apache
  
• Nginx
  
• IIS
  
• Tengine
  
• Tomcat
  
• WebLogic
  

服务器程序潜在漏洞

• 信息泄露
         敏感设置文件或日志信息可能被泄露，定期审计服务器设置以提高安全性。
  
• 文件上传漏洞
         未经验证的文件上传功能可能导致恶意代码被执行，确保上传文件范例和巨细的限定。
  
• 文件解析漏洞
         文件解析错误可能导致代码注入，使用安全库处理文件解析。
  
• 目录遍历
         攻击者通过非法路径访问敏感文件，需限定用户对文件系统的访问。
  
• 访问控制漏洞
         服务器未严酷限定用户权限，导致未授权的访问，确保使用细粒度的访问控制。
  

---

结语

Web程序的安全问题错综复杂，涵盖前端、后端、数据库和服务器等多个层面。面临云云多样的挑衅，唯有不停拓展视野，才华更好地掌握应对各种威胁的知识与技能。安全之路如同砚海无涯，只有通过持续学习和实践，才华明确进步的方向，保持不停进步的动力。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 IT评测·应用市场-qidao123.com (https://dis.qidao123.com/)

Powered by Discuz! X3.4