网络安全十大漏洞
1️⃣ 失效的访问控制(Broken Access Control)
-
核心问题:用户能访问本应被禁止的资源或操作
-
攻击案例:
-
修改URL参数:
https://shop.com/order?user_id=100→ 改为user_id=101查看他人订单 -
直接访问管理员页面:
https://site.com/admin(普通用户未鉴权)
-
-
防御方案:
# 代码示例:检查当前用户是否拥有权限 if current_user != requested_user_id:raise PermissionDenied("无权访问!") # 强制权限验证 -
学习工具:Burp Suite 修改HTTP请求练习越权漏洞
2️⃣ 加密机制失效(Cryptographic Failures)
-
核心问题:敏感数据未加密或加密方式不安全
-
攻击案例:
-
数据库泄露后,密码明文暴露(如"password123"直接可被使用)
-
HTTP传输信用卡号被中间人窃取
-
-
防御方案:
-
传输层:强制HTTPS(HSTS头部)
-
存储层:密码使用 bcrypt 哈希(非MD5/SHA1)
-
-
学习工具:Wireshark抓包观察HTTP明文数据
3️⃣ 注入攻击(Injection)
-
核心问题:用户输入被当作代码执行
-
攻击案例:
-
SQL注入:输入
' OR 1=1 --绕过登录验证 -
命令注入:
; rm -rf /删除服务器文件
-
-
防御方案:
-
// 使用预编译语句(PreparedStatement)防SQL注入 String sql = "SELECT * FROM users WHERE id = ?"; PreparedStatement stmt = conn.prepareStatement(sql); stmt.setInt(1, userInput); // 安全!输入会被当作数据而非代码 -
学习工具:SQLMap自动化检测注入漏洞
4️⃣ 不安全设计(Insecure Design)
-
核心问题:架构设计阶段缺乏安全考量
-
攻击案例:
-
密码重置流程未验证邮箱所有权 → 攻击者重置任意用户密码
-
支付系统未防重放攻击 → 重复扣款
-
-
防御方案:
-
设计阶段进行 威胁建模(Threat Modeling)
-
关键流程添加业务逻辑校验(如短信验证码确认身份)
-
5️⃣ 安全配置错误(Security Misconfiguration)
-
核心问题:服务器/组件使用不安全配置
-
攻击案例:
-
服务器开启调试模式 → 暴露代码栈轨迹
-
云存储桶权限配置为公开 → 数十万用户数据泄露
-
-
防御方案:
-
禁用不必要服务(如FTP、旧版SSL)
-
自动化扫描工具:OWASP ZAP
-
6️⃣ 有风险的过时组件(Vulnerable and Outdated Components)
-
核心问题:使用含已知漏洞的第三方库
-
攻击案例:
-
Log4j漏洞(CVE-2021-44228):攻击者注入恶意代码远程控制服务器
-
-
防御方案:
-
定期扫描依赖:OWASP Dependency-Check
-
仅从官方仓库下载组件(如Maven Central、npmjs)
-
7️⃣ 身份认证失效(Identification and Authentication Failures)
-
核心问题:用户身份验证机制存在缺陷
-
攻击案例:
-
暴力破解弱密码(如
admin/password) -
会话令牌未失效 → 用户注销后令牌仍可用
-
-
防御方案:
-
多因素认证(MFA):强制短信/验证器APP二次验证
-
-
学习工具:Burp Suite Intruder模块模拟密码爆破
8️⃣ 软件和数据完整性失效(Software and Data Integrity Failures)
-
核心问题:未验证代码/数据的来源和完整性
-
攻击案例:
-
下载被篡改的软件安装包(植入后门)
-
自动更新机制未签名 → 攻击者推送恶意更新
-
-
防御方案:
-
使用 数字签名(如GPG签名验证)
-
关键数据存储哈希值:
-
9️⃣ 安全日志与监控不足(Security Logging and Monitoring Failures)
-
核心问题:未记录攻击痕迹 → 无法快速响应入侵
-
攻击案例:
-
黑客拖库10小时才被发现(日志未记录异常查询)
-
登录失败1000次无报警 → 导致暴力破解成功
-
-
防御方案:
-
记录关键事件:
-
搭建 ELK日志系统(Elasticsearch+Logstash+Kibana)
-
-
工具推荐:开源SIEM工具 Wazuh
🔟 服务端请求伪造(SSRF)
-
核心问题:诱骗服务器访问内部资源
-
攻击案例:
-
利用天气查询API参数攻击内网:
GET /api?url=http://internal-db/admin # 服务器访问了内部数据库
-
-
防御方案:
-
禁止服务器向内部网络发起请求
-
校验用户输入的URL:
-
相关文章:
网络安全十大漏洞
1️⃣ 失效的访问控制(Broken Access Control) 核心问题:用户能访问本应被禁止的资源或操作 攻击案例: 修改URL参数:https://shop.com/order?user_id100 → 改为 user_id101 查看他人订单 直接访问管理员页面&#…...
)
关于uv 工具的使用总结(uv,conda,pip什么关系)
最近要开发MCP 项目,uv工具使用是官方推荐的方式,逐要了解这个uv工具。整体理解如下: 一.uv工具的基本情况 UV 是一个由 Rust 编写的现代化 Python 包管理工具,旨在通过极速性能和一体化功能替代传统工具(如 pip、vi…...
深入剖析 Docker 容器化原理与实战应用,开启技术新征程!
文章目录 前言一、为什么 是Docker ?二、Docker 容器化原理分析2.1 镜像(Image)2.2 容器(Container)2.3 仓库(Registry) 三、Docker 容器化实践3.1 Docker安装3.2 创建一个 Docker 镜像3.3 运行…...
Xamarin劝退之踩坑笔记
初级代码游戏的专栏介绍与文章目录-CSDN博客 我的github:codetoys,所有代码都将会位于ctfc库中。已经放入库中我会指出在库中的位置。 这些代码大部分以Linux为目标但部分代码是纯C的,可以在任何平台上使用。 源码指引:github源…...
计算机网络(4)——网络层
1.概述 1.1 网络层服务 (1) 网络层为不同主机(Host)之间提供了一种逻辑通信机制 (2)每个主机和路由器都运行网络层协议 发送方:将来自传输层的消息封装到数据报(datagram)中接收方:向传输层交付数据段(segment) 1.2 网络层核心功能 路由选择(routing…...
java 多线程中的volatile关键字作用
文章目录 前置作用一:多线程下,保证可见性作用二:多线程下,禁止指令重排序 前置 保证可见性和保证没有指令重排导致的问题 但是不保证原子性 volatile 常常见到和 static 一起使用,因为 volatile 用在多线程中共享变…...
ESP32基础知识1:项目工程建立和烧录
ESP32基础知识1:项目工程建立和烧录 一、本文内容与前置知识点1. 本文内容2. 前置知识点 二、新建工程1. 工程配置2. 依照模板建立项目 三、硬件烧录1. 硬件准备2. 烧录器和ESP32连接3. 电脑端设置4. 烧录成功演示 四、参考文献 一、本文内容与前置知识点 1. 本文内…...
allWebPlugin中间件VLC专用版之录像功能介绍
背景 VLC控件原有接口是不支持录像的,且libVLC提供的接口库,不能获取录像文件完整名称(VLC-3.0.11 录制直播时有的无法保存视频的解决方法 - 1CM - 博客园);因此,非常的不友好。为了能够彻底解决这个问题&a…...
Vim 支持多种编程语言编辑器
软件简介 Vim是Vi编辑器的增强版,它提供了更多的功能和快捷键。Vim是一款自由软件,它是由Bram Moolenaar在1991年创建的。Vim支持多种编程语言,包括C、C、Java、Python、Perl等等。它是一款轻量级的编辑器,可以快速打开和编辑大型…...
解决 IDEA 在运行时中文乱码问题
直接说解决办法 编译 IDEA 所在目录的启动的 .vmoptions 文件,添加以下JVM 参数即可 -Dfile.encodingUTF-8如下图所示,Help > Edit Custom VM Options,随后在编辑框中添加-Dfile.encodingUTF-8 的 JVM 参数...
Diffusion Planner:扩散模型重塑自动驾驶路径规划(ICLR‘25)
1. 概述 2025年2月14日,清华大学AIR智能产业研究院联合毫末智行、中科院自动化所和香港中文大学团队,在ICLR 2025会议上发布了Diffusion Planner——一种创新性的基于Diffusion Transformer的自动驾驶规划模型架构。该系统联合建模周车运动预测与自车行…...
华为OD机试真题——阿里巴巴找黄金宝箱 IV(2025A卷:200分)Java/python/JavaScript/C++/C语言/GO六种最佳实现
2025 A卷 200分 题型 本文涵盖详细的问题分析、解题思路、代码实现、代码详解、测试用例以及综合分析; 并提供Java、python、JavaScript、C++、C语言、GO六种语言的最佳实现方式! 2025华为OD真题目录+全流程解析/备考攻略/经验分享 华为OD机试真题《阿里巴巴找黄金宝箱 IV》:…...
数据结构:时间复杂度(Time Complexity)和空间复杂度(Space Complexity)
目录 什么是时间复杂度? 如何表示时间复杂度? 为什么需要时间复杂度? 用几个例子理解 怎么分析代码的时间复杂度? 什么是空间复杂度? 举例理解 什么是时间复杂度? 时间复杂度是用来衡量一个算法“…...
CentOS7.9环境离线部署docker和docker-compose的两种方式
目 录 一、yum安装,使用rpm安装包和相关依赖 1.1 准备rpm安装包 1.2 将docker-23.0.4.tar.gz上传至/opt目录下 二、二进制文件方式安装 三、安装docker-compose 一、yum安装,使用rpm安装包和相关依赖 1.1 准备rpm安装包 1)在一台与…...
北京大学肖臻老师《区块链技术与应用》公开课:06-BTC-网络
文章目录 比特币工作在应用层,它的底层是一个P2P overlay Network...
SSL/TLS 协议详解:安全通信的基石
一、概述 SSL(Secure Sockets Layer) 及其继任者 TLS(Transport Layer Security) 是位于 传输层(TCP)与应用层之间 的加密协议,用于在网络通信中实现 机密性、身份认证和数据完整性。 核心目标…...
设计模式——外观设计模式(结构型)
摘要 本文介绍了外观设计模式,它是一种结构型设计模式,通过引入一个外观类来封装复杂子系统的调用细节,对外提供简单统一的接口。文中通过生活类比、关键角色介绍、使用场景分析以及结构说明等方面对这一模式进行了全面阐述,还涉…...
Linux `vi/vim` 编辑器深度解析与高阶应用指南
Linux `vi/vim` 编辑器深度解析与高阶应用指南 一、核心功能解析1. 模式系统2. 与主流编辑器对比二、核心操作体系1. 高效导航命令2. 文本操作矩阵三、高阶配置体系1. .vimrc 配置示例2. 插件管理系统四、企业级开发实践1. 代码编辑技巧2. 宏录制与批量处理五、可视化与多窗口1…...
ES中must与filter的区别
在 Elasticsearch 的布尔查询(bool query)中,must 和 filter 是两个核心子句,它们的核心区别在于 是否影响相关性评分,这直接决定了它们在查询性能、使用场景和结果排序上的差异。以下是详细对比: 一、核心…...
qt之开发大恒usb3.0相机三
上一篇大恒相机的开发 是基于Qt Creator msvc工具链编译的,大恒相机msvc使用的的lib库是c版的。如果想要使用mingw工具链开发大恒相机,那么找连接对相应的lib库。mingw对应的库是c的。 配置如下: 图像获取核心代码如下 void __stdcall Wid…...
Transformer架构详解:从Attention到ChatGPT
Transformer架构详解:从Attention到ChatGPT 系统化学习人工智能网站(收藏):https://www.captainbed.cn/flu 文章目录 Transformer架构详解:从Attention到ChatGPT摘要引言一、Attention机制:Transformer的…...
数据中台(大数据平台)之数据安全管理
数据安全管理是结合大数据技术和行业特性,数据中台产品应具备数据分类分级、敏感数据智能识别的功能,并结合敏感数据管理、数据脱敏、数据加密等安全管控方式,保障数据安全可用。 1.安全分级分类:数据分级分类是一种将不同数据按…...
github双重验证密码忘记或者获取不了了怎么办
背景 近期由于换了新手机,之前配置好的Authenticator这个App无法使用,导致获取不到二次验证的Authenticator code,登陆不上GitHub,不知道有没有人和我遇到同样的问题? 当我们配置2FA双重验证后,每次登陆gi…...
告别复杂操作!电脑极简风格计时使用
无论是工作、学习还是日常生活,这款小巧实用的计时工具都能成为你掌控时间的好帮手。特别适合需要频繁切换正计时、倒计时和查看当前时间的场景。界面简洁,操作便捷,助你高效管理每一刻。 这是一款免安装的工具,下载后可直接打开…...
stm32cube ide如何将工具链替换成arm-none-eabi-gcc
在 STM32Cube IDE 中替换工具链为GNU Arm Embedded Toolchain (arm-none-eabi-gcc),可按以下步骤操作: 1. 检查是否已安装工具链 首先确认系统中是否已安装 arm-none-eabi-gcc: Windows:检查环境变量 PATH 中是否包含工具链路径…...
[STM32问题解决(2)]STM32通过串口与PC通信,打开串口助手后无法在打开状态下下载程序和复位STM32
问题回顾 最近学习STM32单片机,经常使用STM32通过USART1串口与PC的串口助手进行通信。为了简单便捷,通常在打开串口的状态下下载程序。这样子下载程序后,STM32发出的信号,PC马上可以收到。 但是,突然出现了一个问题&a…...
)
RabbitMQ 与其他 MQ 的对比分析:Kafka/RocketMQ 选型指南(二)
四、三者性能大比拼 4.1 吞吐量 吞吐量是衡量消息队列处理能力的重要指标,它反映了在单位时间内消息队列能够处理的消息数量。在这方面,Kafka 表现最为出色,其独特的设计使其能够轻松处理每秒数百万条消息 。Kafka 采用分布式架构和分区机制…...
OpenHarmony定制系统组合按键(一)
一、开发环境 系统版本:OpenHarmony 4.0.10.13 设备平台:rk3568 SDK版本:fullSDK 4.0.10.13 DevEco Studio版本:4.1.0.400 二、需求背景 定制OpenHarmony 系统组合按键功能,例如仿Android Power VOL_Up组合键实现截…...
ORDER BY子句在一个 SQL 查询中只能出现一次
order by A.create_time,A.update_time desc和 order by A.create_time desc,A.update_time desc有区别吗? 关键区别 第一个排序中 create_time 是升序(默认是ASC),第二个是降序(DESC) 只有在 DESC 关键字紧跟在列名后面时,该列才会按降序排…...
Spring Boot 3 整合 MQ 构建聊天消息存储系统
引子 在构建实时聊天服务时,我们既要保证消息的即时传递,又需要对消息进行持久化存储以便查询历史记录。然而,直接同步写入数据库在高并发场景下容易成为性能瓶颈,影响消息的实时性。秉承"没有什么问题是加一层解决不了的&q…...