当前位置: 首页 > article >正文

安全基础与协议分析

article 2025/8/27 3:53:08
5.1 Web安全基础

5.1.1 Web安全基础概览(一、二)

Web安全的核心目标是保护Web应用及其数据免受攻击,涵盖以下关键领域:

  • 攻击面

  • 前端漏洞(XSS、CSRF)。

  • 后端漏洞(SQL注入、RCE)。

  • 服务器配置错误(目录遍历、敏感文件泄露)。

  • 防御原则

  • 最小权限:应用服务以低权限账户运行。

  • 输入过滤:对所有用户输入进行白名单验证。

  • 输出编码:防止XSS攻击(如HTML实体转义)。

5.1.2 HTTP协议介绍

HTTP(超文本传输协议)是Web通信的基础,但默认无状态、明文传输的特性导致安全隐患。

  • 关键特性与风险

  • 无状态:依赖Cookie/Session维持会话,易受劫持。

  • 明文传输:易被中间人窃听(需HTTPS加密)。

  • 方法滥用

  • GET请求参数暴露在URL中(日志泄露)。

  • PUT/DELETE方法未禁用可能导致文件上传/删除。

  • 安全加固

  • 强制使用HTTPS(HSTS头)。

  • 禁用危险HTTP方法(如配置Apache的LimitExcept)。

5.1.3 网站运行原理

理解网站架构是分析漏洞的基础,典型流程如下:

  1. 客户端请求:用户通过浏览器发送HTTP请求(如GET /index.php)。

  2. 服务器处理:Web服务器(Apache/Nginx)解析请求,转发至后端(PHP/Python)。

  3. 数据库交互:后端执行SQL查询,返回结果生成动态页面。

  4. 响应返回:服务器将HTML/CSS/JS返回客户端渲染。

  • 常见漏洞点

  • 未验证的输入直接拼接至SQL语句(SQL注入)。

  • 用户上传文件未限制类型(Webshell上传)。

5.2 系统安全

5.2.1 Windows账户安全

Windows系统账户是攻击者提权与横向移动的关键目标。

  • 安全配置实践

  • 禁用默认账户:重命名或禁用Administrator、Guest账户。

  • 强密码策略

  • 最小长度12位,包含大小写字母、数字、特殊符号。

  • 定期更换密码(组策略:gpedit.msc → 密码策略)。

  • 权限分离:日常使用非管理员账户,限制高危操作。

  • 攻击案例

  • 使用Mimikatz提取内存中的明文密码:


mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"

5.2.2 Kali安装与使用

Kali Linux是渗透测试的标准操作系统,集成数百种安全工具。

  • 安装步骤

  1. 下载Kali镜像(官网或国内镜像站),制作启动U盘(Rufus工具)。

  2. 启动安装程序,选择分区方案(建议全盘加密)。

  3. 更新源并安装常用工具:


sudo apt update && sudo apt install metasploit-framework nmap burpsuite

  • 基础使用场景

  • 信息收集nmap -sV -p- 目标IP(全端口扫描)。

  • 漏洞利用msfconsole加载模块攻击。

  • 流量分析wireshark抓包解密HTTPS(需导入证书)。

总结

安全基础与协议分析是渗透测试的底层支撑:

  • Web安全:理解协议与架构漏洞,从设计层面规避风险。

  • 系统安全:强化账户管理与权限控制,阻断攻击链蔓延。

  • 工具链:Kali提供一体化测试环境,需熟练核心工具操作。

下一步学习建议

  1. 使用Wireshark分析HTTP/HTTPS流量,识别敏感信息泄露。

  2. 在虚拟机中配置Windows组策略,模拟企业级安全加固。

  3. 通过Kali工具链(如sqlmapnikto)实战测试本地靶场。

提示:如需生成其他部分(如“6.1 信息收集与搜索引擎”),请随时告知!

相关文章:

安全基础与协议分析

5.1 Web安全基础 5.1.1 Web安全基础概览(一、二) Web安全的核心目标是保护Web应用及其数据免受攻击,涵盖以下关键领域: 攻击面: 前端漏洞(XSS、CSRF)。 后端漏洞(SQL注入、RCE&a…...

编程日记 2025/8/9 17:42:59

【Web前端】JavaScript入门与基础(一)

JavaScript简介 JavaScript 是一种轻量级的脚本语言。所谓“脚本语言”,指的是它不具备开发操作系统的能力,而是只用来编写控制其他大型应用程序的“脚本”。 JavaScript 是一种嵌入式(embedded)语言。它本身提供的核心语法不算…...

编程日记 2025/8/21 19:35:25

第一课:医学影像研究的科学思维与问题提出

课程目标: 理解科学思维在医学影像研究中的核心地位。掌握从临床实践、文献回顾及技术进展中发现医学影像研究问题的方法。学习如何凝练、评估并清晰表述一个具有研究价值的医学影像科学问题。熟悉医学影像研究问题提出的伦理考量。课程大纲与核心内容: 引言 医学影像研究的…...

编程日记 2025/7/3 16:49:25

前端大文件上传性能优化实战:分片上传分析与实战

前端文件分片是大文件上传场景中的重要优化手段,其必要性和优势主要体现在以下几个方面: 一、必要性分析 1. 突破浏览器/服务器限制 浏览器限制:部分浏览器对单次上传文件大小有限制(如早期IE限制4GB) 服务器限制&a…...

编程日记 2025/8/21 10:04:50

数据的获取与读取篇---常见的数据格式JSON

文件格式 假如你有一份想分析的数据文件,获得文件后下一步就是用代码读取它。不同的文件格式有不同的读取方法。所以读取前了解文件格式也很重要。你可能见过非常多的文件格式,例如TXT、MP3、PDF、JPEG等等。 一般可以通过文件的后缀来分辨文件的格式,例如TXT格式,一般保存…...

编程日记 2025/6/7 8:18:34

【python代码】一些小实验

目录 1. 测试Resnet50 ONNX模型的推理速度 1. 测试Resnet50 ONNX模型的推理速度 ############################### # 导出resnet50 模型 # 测试onnx模型推理 cpu 和 GPU 的对比 ###############################import time import numpy as np import onnxruntime as ort im…...

编程日记 2025/6/4 15:22:55

Linux服务器配置深度学习环境(Pytorch+Anaconda极简版)

前言: 最近做横向需要使用实验室服务器跑模型,之前用师兄的账号登录服务器跑yolo,3张3090一轮14秒,我本地一张4080laptop要40秒,效率还是快很多,(这么算一张4080桌面版居然算力能比肩3090&#…...

编程日记 2025/8/21 6:23:46

Vue-创建应用/挂载应用/根组件模版-.vue单文件/应用配置

目录 应用实例 根组件 挂载应用 容器元素自己将不会被视为应用的一部分 那为什么还要在被挂载标签里面写东西呢? .mount( ) 方法应该始终在整个应用配置和资源注册完成后被调用 什么是资源注册? 什么是应用实例? 什么是根实例&#…...

编程日记 2025/7/31 6:10:52

超低延迟音视频直播技术的未来发展与创新

引言 音视频直播技术正在深刻改变着我们的生活和工作方式,尤其是在教育、医疗、安防、娱乐等行业。无论是全球性的体育赛事、远程医疗、在线教育,还是智慧安防、智能家居等应用场景,都离不开音视频技术的支持。为了应对越来越高的需求&#x…...

编程日记 2025/8/21 23:56:31

虚拟文件(VFS)

核心知识点:虚拟文件系统(VFS) 1. 通俗易懂的解释 想象一下你家里的冰箱。你把食物放进去,不用管它是放在塑料盒里、玻璃罐里还是直接用保鲜膜包着,你只需要知道它在冰箱的哪个位置(比如“蔬菜抽屉里”&a…...

编程日记 2025/8/17 1:27:08

Java 内存模型(JMM)深度解析:理解多线程内存可见性问题

Java 内存模型(JMM)深度解析:理解多线程内存可见性问题 在 Java 编程中,多线程的运用能够显著提升程序的执行效率,但与此同时,多线程环境下的一些问题也逐渐凸显。其中,内存可见性问题是一个关…...

编程日记 2025/8/21 21:51:09

转移dp简单数学数论

1.转移dp问题 昨天的练习赛上有一个很好玩的起终点问题,第一时间给出bfs的写法。 但是写到后面发现不行,还得是的dp转移的写法才能完美的解决这道题目。 每个格子可以经过可以不经过,因此它的状态空间是2^(n*m)&…...

编程日记 2025/8/21 10:03:16

【大模型面试每日一题】Day 27:自注意力机制中Q/K/V矩阵的作用与缩放因子原理

【大模型面试每日一题】Day 27:自注意力机制中Q/K/V矩阵的作用与缩放因子原理 📌 题目重现 🌟🌟 面试官:请解释Transformer自注意力机制中Query、Key、Value矩阵的核心作用,并分析为何在计算注意力分数时…...

编程日记 2025/8/9 17:20:04

Ubuntu24.04 LTS安装java8、mysql8.0

在 Ubuntu 24.04 上安装 OpenJDK OpenJDK 包在 Ubuntu 24.04 的默认存储库中随时可用。 打开终端并运行以下 apt 命令: sudo apt update查看是否已经安装java java --version如果未安装会有提示,直接复制命令安装即可,默认版本: sudo apt in…...

编程日记 2025/6/7 7:06:46

动静态库--

目录 一 静态库 1. 创建静态库 2. 使用静态库 2.1 第一种 2.2 第二种 二 动态库 1. 创建动态库 2. 使用动态库 三 静态库 VS 动态库 四 动态库加载 1. 可执行文件加载 2. 动态库加载 一 静态库 Linux静态库:.a结尾 Windows静态库:.lib结尾…...

编程日记 2025/8/21 19:33:53

【检索增强生成(RAG)全解析】从理论到工业级实践

目录 🌟 前言🏗️ 技术背景与价值🩹 当前技术痛点🛠️ 解决方案概述👥 目标读者说明 🧠 一、技术原理剖析📊 核心架构图解💡 核心工作流程🔧 关键技术模块⚖️ 技术选型对…...

编程日记 2025/8/20 0:25:07

git clone时出现无法访问的问题

git clone时出现无法访问的问题 问题: 由于我的git之前设置了代理,然后在这次克隆时又没有打开代理 解决方案: 1、如果不需要代理,直接取消 Git 的代理设置: git config --global --unset http.proxy git config --gl…...

编程日记 2025/8/24 22:28:13

Lesson 22 A glass envelope

Lesson 22 A glass envelope 词汇 dream v. 做梦,梦想 n. 梦 用法:1. have a dream 做梦    2. have a good / sweet dream 做个好梦 [口语晚安]    3. dream about 人/物 梦到……    4. dream that 句子 梦到…… 例句:他昨晚…...

编程日记 2025/7/8 4:18:02

文件系统·linux

目录 磁盘简介 Ext文件系统 块 分区 分组 inode 再谈inode 路径解析 路径缓存 再再看inode 挂载 小知识 磁盘简介 磁盘:一个机械设备,用于储存数据。 未被打开的文件都是存在磁盘上的,被打开的加载到内存中。 扇区:是…...

编程日记 2025/8/24 20:35:44

【Matlab】雷达图/蛛网图

文章目录 一、简介二、安装三、示例四、所有参数说明 一、简介 雷达图(Radar Chart)又称蛛网图(Spider Chart)是一种常见的多维数据可视化手段,能够直观地对比多个指标并揭示其整体分布特征。 雷达图以中心点为原点&…...

编程日记 2025/8/20 19:24:22

【信息系统项目管理师】第24章:法律法规与标准规范 - 27个经典题目及详解

更多内容请见: 备考信息系统项目管理师-专栏介绍和目录 文章目录 【第1题】【第2题】【第3题】【第4题】【第5题】【第6题】【第7题】【第8题】【第9题】【第10题】【第11题】【第12题】【第13题】【第14题】【第15题】【第16题】【第17题】【第18题】【第19题】【第20题】【第…...

编程日记 2025/8/21 11:30:46

使用JProfiler进行Java应用性能分析

文章目录 一、基本概念 二、Windows系统中JProfiler的安装 1、下载exe文件 2、安装JProfiler 三、JProfiler的破解 四、IDEA中配置JProfiler 1、安装JProfiler插件 2、关联本地磁盘中JProfiler软件的执行文件 3、IDEA中启动JProfiler 五、监控本地主机中的Java应用 …...

编程日记 2025/8/10 8:35:15

遥感解译项目Land-Cover-Semantic-Segmentation-PyTorch之一推理模型

文章目录 效果项目下载项目安装安装步骤1、安装环境2、新建虚拟环境和安装依赖测试模型效果效果 项目下载 项目地址 https://github.com/souvikmajumder26/Land-Cover-Semantic-Segmentation-PyTorch 可以直接通过git下载 git clone https://github.com/souvikmajumder26/Lan…...

编程日记 2025/8/24 1:30:52

最大似然估计(Maximum Likelihood Estimation, MLE)详解

一、定义 最大似然估计 是一种参数估计方法,其核心思想是: 选择能使观测数据出现概率最大的参数值作为估计值。 具体来说,假设数据 D x 1 , x 2 , … , x n D{x_1,x_2,…,x_n} Dx1​,x2​,…,xn​独立且服从某个概率分布 P ( x ∣ θ ) P(…...

编程日记 2025/8/20 20:17:30

【单片机】如何产生负电压?

以下是对知乎文章《单片机中常用的负电压是这样产生的!》的解析与总结,结合电路原理、应用场景及讨论要点展开: 一、负电压产生的核心原理 负电压本质是相对于参考地(GND)的电势差为负值,需通过电源或储能…...

编程日记 2025/6/14 17:32:17

Java 8 Stream 流操作全解析

文章目录 **一、Stream 流简介****二、Stream 流核心操作****1. 创建 Stream****2. 中间操作&#xff08;Intermediate Operations&#xff09;****filter(Predicate<T>)&#xff1a;过滤数据****1. 简单条件过滤****2. 多条件组合****3. 过滤对象集合****4. 过滤 null 值…...

编程日记 2025/8/21 9:25:33

java线程中断的艺术

文章目录 引言java中的中断何时触发中断阻塞如何响应中断中断的一些实践基于标识取消任务如何处理阻塞式的中断合理的中断策略时刻保留中断的状态超时任务取消的最优解处理系统层面阻塞IO小结参考引言 我们通过并发编程提升了系统的吞吐量,特定场景下我们希望并发的线程能够及…...

编程日记 2025/8/7 13:52:07

【信息系统项目管理师】一文掌握高项常考题型-项目进度类计算

更多内容请见: 备考信息系统项目管理师-专栏介绍和目录 文章目录 一、进度类计算的基本概念1.1 前导图法1.2 箭线图法1.3 时标网络图1.4 确定依赖关系1.5 提前量与滞后量1.6 关键路径法1.7 总浮动时间1.8 自由浮动时间1.9 关键链法1.10 资源优化技术1.11 进度压缩二、基本公式…...

编程日记 2025/6/25 23:22:52

HarmonyOS 鸿蒙应用开发基础:转换整个PDF文档为图片功能

在许多应用场景中&#xff0c;将PDF文档的每一页转换为单独的图片文件是非常有帮助的。这可以用于文档的分享、扫描文档的电子化存档、或者进行进一步的文字识别处理等。本文将介绍如何使用华为HarmonyOS提供的PDF处理服务将整个PDF文档转换为图片&#xff0c;并将这些图片存放…...

编程日记 2025/8/19 17:29:56

Flask-SQLAlchemy核心概念:模型类与数据库表、类属性与表字段、外键与关系映射

前置阅读&#xff0c;关于Flask-SQLAlchemy支持哪些数据库及基本配置&#xff0c;链接&#xff1a;Flask-SQLAlchemy_数据库配置 摘要 本文以一段典型的 SQLAlchemy 代码示例为引入&#xff0c;阐述以下核心概念&#xff1a; 模型类&#xff08;Model Class&#xff09; ↔ 数…...

编程日记 2025/8/9 12:52:21