【网络安全】网站常见安全漏洞 - 网站基本组成及漏洞定义
文章目录
- 引言
- 1. 一个网站的基本构成
- 2. 一些我们经常听到的安全事件
- 3. 网站攻击者及其意图
- 3.1 网站攻击者的类型
- 3.2 攻击者的意图
- 4. 漏洞的分类
- 4.1 按来源分类
- 4.2 按危害分类
- 4.3 常见漏洞与OWASP Top 10
引言
在当今的数字化时代,安全问题已成为技术领域不可忽视的核心话题。作为开发人员,无论是构建日常应用还是面向高安全需求的业务场景,掌握基础的安全知识都是必不可少的。安全不仅仅是专门从事安全岗位人员的职责,也是开发工作中的关键一环。尤其是在涉及金融、医疗、政府等敏感行业时,了解并应用基本的安全规范,能够有效降低风险,保护数据和系统免受潜在威胁。于是乎,这个专题笔者就带大家了解下,网络安全的基础知识。
1. 一个网站的基本构成
- 前端(Frontend)
- 用户交互界面(HTML、CSS、JavaScript)
- 常见的框架和库:React、Vue、jQuery
- 静态资源(图像、视频、字体等)
- 后端(Backend)
- 服务器逻辑(处理请求、生成响应)
- 开发语言:Java、Python、PHP、Node.js 等
- 数据存储与操作:数据库(MySQL、MongoDB 等)
- 通信(Networking)
- 协议:HTTP/HTTPS
- Web API(RESTful、GraphQL)
- 基础设施(Infrastructure)
- 服务器和操作系统(Linux、Windows)
- 部署平台和云服务(AWS、Azure、阿里云等)
2. 一些我们经常听到的安全事件
- 著名的漏洞案例
- Heartbleed(心脏出血漏洞):导致敏感信息泄露的OpenSSL漏洞。
- Equifax 数据泄露事件:因未及时修补Struts框架漏洞,导致1.4亿条个人数据被窃取。
- Log4Shell 漏洞:Log4j日志库的远程代码执行漏洞,影响全球大量服务。
- 常见攻击类型的影响
- 数据泄露:攻击者窃取用户数据(如用户名、密码、信用卡信息)。
- 网站瘫痪:DDoS(分布式拒绝服务)攻击导致服务不可用。
- 恶意篡改:网页被挂马或被非法更改内容。
3. 网站攻击者及其意图
3.1 网站攻击者的类型
- 黑客(Hackers)
- 白帽黑客:帮助企业查找和修复漏洞,合法渗透测试。
- 黑帽黑客:恶意攻击者,目的是窃取数据或破坏系统。
- 灰帽黑客:介于合法与非法之间的行为,有时未经授权进行漏洞扫描。
- 脚本小子(Script Kiddies)
- 缺乏专业技能,使用现成的工具或脚本攻击网站。
- APT 组织(Advanced Persistent Threats)
- 高技术的攻击组织,通常有明确的经济或政治目标。
- 内部人员(Insiders)
- 拥有系统权限,可能因利益或矛盾而进行恶意操作。
3.2 攻击者的意图
- 经济利益
- 窃取信用卡信息进行交易。
- 勒索软件攻击,要求支付比特币。
- 政治动机
- 涉及政府或机构的网站被攻击,传播意识形态或信息。
- 恶作剧
- 对知名网站进行涂鸦或修改,炫耀技能。
- 情报收集
- 通过漏洞获取敏感数据,如商业机密或国家安全信息。
4. 漏洞的分类
4.1 按来源分类
- 设计缺陷
- 逻辑漏洞:例如,电子商务网站的优惠券机制被滥用。
- 协议漏洞:例如,HTTP协议的设计缺陷易受中间人攻击。
- 实现问题
- 编码漏洞:如输入验证不当导致SQL注入。
- 配置错误:如默认密码未修改或开放了不必要的端口。
- 第三方问题
- 使用漏洞百出的第三方库或插件。
4.2 按危害分类
- 信息泄露漏洞
- 未加密的敏感数据。
- 错误的访问权限配置。
- 身份验证漏洞
- 弱密码或未启用多因素认证。
- Session劫持。
- 远程代码执行漏洞
- 攻击者可在服务器上运行恶意代码。
- 拒绝服务漏洞
- 导致服务器过载或资源耗尽。
4.3 常见漏洞与OWASP Top 10
- 注入攻击(Injection)
- SQL注入、命令注入等。
- 跨站脚本(XSS)
- 在页面中插入恶意脚本。
- 跨站请求伪造(CSRF)
- 利用用户的认证状态发送恶意请求。
- 失效的访问控制
- 允许未授权用户访问敏感功能。
后续还会更新2篇文章,分别是关于前端和后端的常见漏洞类型。
博客主页: 总是学不会.
相关文章:
【网络安全】网站常见安全漏洞 - 网站基本组成及漏洞定义
文章目录 引言1. 一个网站的基本构成2. 一些我们经常听到的安全事件3. 网站攻击者及其意图3.1 网站攻击者的类型3.2 攻击者的意图 4. 漏洞的分类4.1 按来源分类4.2 按危害分类4.3 常见漏洞与OWASP Top 10 引言 在当今的数字化时代,安全问题已成为技术领域不可忽视的…...
Redis——个人笔记留存
今日内容 1. redis1. 概念2. 下载安装3. 命令操作1. 数据结构4. 持久化操作5. 使用Java客户端操作redis Redis 1. 概念: redis是一款高性能的NOSQL系列的非关系型数据库 1.1.什么是NOSQLNoSQL(NoSQL Not Only SQL),意即“不仅仅是SQL”,是…...
人工智能_大模型091_大模型工作流001_使用工作流的原因_处理复杂问题_多轮自我反思优化ReAct_COT思维链---人工智能工作笔记0236
# 清理环境信息,与上课内容无关 import os os.environ["LANGCHAIN_PROJECT"] "" os.environ["LANGCHAIN_API_KEY"] "" os.environ["LANGCHAIN_ENDPOINT"] "" os.environ["LANGCHAIN_TRACING_V…...
linux上jdk1.8安装elasticsearch6.8.5踩坑总结
先在windows上下载了elasticsearch8安装成功后,本来是想在linux上也安装一个一样的版本,然后发现各种启动不了,查了一天原来jdk版本不同,需要下载不同版本的elasticsearch,我测试了8,7,6&#x…...
Three.js教程_02场景、相机与渲染器全面解析
Three.js 场景、相机与渲染器全面解析 Three.js 是一个强大的 JavaScript 库,用于在网页上创建和渲染 3D 图形。本文将深入解析 Three.js 中的几个核心概念,并介绍它们的用法及拓展方法。内容包括场景、相机、渲染器、网格对象、光源、坐标轴、控制器和…...
【数据结构】动态规划-基础篇
针对动态规划问题,我总结了以下5步: 确定dp数组以及下标的含义; 递推公式; dp数组如何初始化; 遍历顺序; 打印dp数组(用来debug); 以上5步适用于任何动态规划问题&#x…...
opencv读取展示图片
import time import cv2 # 创建窗口 cv2.namedWindow(window, cv2.WINDOW_AUTOSIZE) # cv2.WINDOW_AUTOSIZE自动大小,不允许修改窗口大小 cat cv2.imread("./6.jpg", 0) # opencv默认读取bgr,0代表的是灰度图模式,1是彩色图 # 展示名字为window…...
网站访问统计A/B测试与数据分析
在网站运营中,访问统计和数据分析是优化用户体验和提高转化率的关键工具。A/B测试作为一种数据驱动的方法,能够帮助网站运营者验证设计和内容的有效性。A/B测试的基本原理是同时展示两个不同的版本(A和B),通过比较它们…...
前端开发 之 15个页面加载特效下【附完整源码】
文章目录 十二:铜钱3D圆环加载特效1.效果展示2.HTML完整代码 十三:扇形百分比加载特效1.效果展示2.HTML完整代码 十四:四色圆环显现加载特效1.效果展示2.HTML完整代码 十五:跷跷板加载特效1.效果展示2.HTML完整代码 十二ÿ…...
详解八大排序(六)------(三路划分,自省排序,归并排序外排序)
文章目录 1. 快排之三路划分1. 1 三路划分的诞生由来1. 2 三路划分的具体思路1. 3 代码实现 2. 快排之自省排序2. 1 自省排序的目的2. 2 自省排序的思路2. 3 自省排序的实现代码 3. 归并排序外排序3. 1 外排序介绍3. 2 归并排序外排序的思路3. 3 归并排序的实现代码 1. 快排之三…...
【Java从入门到放弃 之 从字节码的角度异常处理】
从字节码的角度异常处理 生成字节码Javap 命令的使用基本语法 字节码文件testTryCatchtestTryCatchFinallytestTryWithResource 如果大家对与java的异常使用还有问题或者还不太了解,建议先看一下我之前写的Java异常了解一下基本 的异常处理知识,再看这篇…...
中的元空间(Metaspace)一些关键点的总结)
Java虚拟机(JVM)中的元空间(Metaspace)一些关键点的总结
• 元空间的引入:在Java 8中,JVM的内存结构经历了变化,其中方法区被替代为元空间(Metaspace)。元空间用于存储类的元数据信息,包括类的名称、方法、字段等信息。 • 存储位置:与方法区不同&…...
小程序 模版与配置
WXML模版语法 一、数据绑定 1、数据绑定的基本原则 (1)在data中定义数据 (2)在WXML中使用数据 2、在data中定义页面的数据 3、Mustache语法的格式(双大括号) 4、Mustache语法的应用场景 (…...
当大的div中有六个小的div,上面三个下面三个,当外层div高变大的时候我希望里面的小的div的高也变大
问: 当大的div中有六个小的div,上面三个下面三个,当外层div高变大的时候我希望里面的小的div的高也变大 回答: 这时候我们就不能写死六个小的div的高度,否则上下的小的div的间距就会变大,因为他们的高度…...
MySQL——操作
一.库的操作 1.基本操作 创建数据库 create database 数据库名称; 查看数据库 show databases; 删除数据库 drop database 数据库名称; 执行删除之后的结果: 数据库内部看不到对应的数据库 对应的数据库文件夹被删除,级联删除,里面的数据表全部被删…...
Python语法之正则表达式详解以及re模块中的常用函数
正则表达式详解及re模块中的常用函数 概念、作用和步骤 概念: 本身也是一个字符串,其中的字符具有特殊含义,将来我们可以根据这个字符串【正则表达式】去处理其他的字符串,比如可以对其他字符串进行匹配,切分…...
《地球化学》
《地球化学》主要报道近代地球化学, 特别是其主要分支学科, 如岩石地球化学、元素地球化学、有机地球化学、环境地球化学、矿床地球化学、实验地球化学、生物地球化学、天体化学、计算地球化学、分析地球化学、海洋地球化学、沉积地球化学、纳米地球化学、油气地球化学和同位素…...
alpine openssl 编译
./config no-shared --prefix/usr/local/openssl apk add musl-dev gcc g apk add linux-headers ssh root 登录 编辑 SSH 配置文件 打开 SSH 配置文件 /etc/ssh/sshd_config: vi /etc/ssh/sshd_config PermitRootLogin yes...
【AI模型对比】AI新宠Kimi与ChatGPT的全面对比:技术、性能、应用全揭秘
文章目录 Moss前沿AI技术背景Kimi人工智能的技术积淀ChatGPT的技术优势 详细对比列表模型研发Kimi大模型的研发历程ChatGPT的发展演进 参数规模与架构Kimi大模型的参数规模解析ChatGPT的参数体系 模型表现与局限性Kimi大模型的表现ChatGPT的表现 结论:如何选择适合自…...
【C#设计模式(17)——迭代器模式(Iterator Pattern)】
前言 迭代器模式可以使用统一的接口来遍历不同类型的集合对象,而不需要关心其内部的具体实现。 代码 //迭代器接口 public interface Iterator {bool HashNext();object Next(); } //集合接口 public interface Collection {Iterator CreateIterator(); } //元素迭…...
深入剖析AI大模型:大模型时代的 Prompt 工程全解析
今天聊的内容,我认为是AI开发里面非常重要的内容。它在AI开发里无处不在,当你对 AI 助手说 "用李白的风格写一首关于人工智能的诗",或者让翻译模型 "将这段合同翻译成商务日语" 时,输入的这句话就是 Prompt。…...
基础测试工具使用经验
背景 vtune,perf, nsight system等基础测试工具,都是用过的,但是没有记录,都逐渐忘了。所以写这篇博客总结记录一下,只要以后发现新的用法,就记得来编辑补充一下 perf 比较基础的用法: 先改这…...
三体问题详解
从物理学角度,三体问题之所以不稳定,是因为三个天体在万有引力作用下相互作用,形成一个非线性耦合系统。我们可以从牛顿经典力学出发,列出具体的运动方程,并说明为何这个系统本质上是混沌的,无法得到一般解…...
学习STC51单片机32(芯片为STC89C52RCRC)OLED显示屏2
每日一言 今天的每一份坚持,都是在为未来积攒底气。 案例:OLED显示一个A 这边观察到一个点,怎么雪花了就是都是乱七八糟的占满了屏幕。。 解释 : 如果代码里信号切换太快(比如 SDA 刚变,SCL 立刻变&#…...
Fabric V2.5 通用溯源系统——增加图片上传与下载功能
fabric-trace项目在发布一年后,部署量已突破1000次,为支持更多场景,现新增支持图片信息上链,本文对图片上传、下载功能代码进行梳理,包含智能合约、后端、前端部分。 一、智能合约修改 为了增加图片信息上链溯源,需要对底层数据结构进行修改,在此对智能合约中的农产品数…...
Java数值运算常见陷阱与规避方法
整数除法中的舍入问题 问题现象 当开发者预期进行浮点除法却误用整数除法时,会出现小数部分被截断的情况。典型错误模式如下: void process(int value) {double half = value / 2; // 整数除法导致截断// 使用half变量 }此时...
【JVM面试篇】高频八股汇总——类加载和类加载器
目录 1. 讲一下类加载过程? 2. Java创建对象的过程? 3. 对象的生命周期? 4. 类加载器有哪些? 5. 双亲委派模型的作用(好处)? 6. 讲一下类的加载和双亲委派原则? 7. 双亲委派模…...
多模态图像修复系统:基于深度学习的图片修复实现
多模态图像修复系统:基于深度学习的图片修复实现 1. 系统概述 本系统使用多模态大模型(Stable Diffusion Inpainting)实现图像修复功能,结合文本描述和图片输入,对指定区域进行内容修复。系统包含完整的数据处理、模型训练、推理部署流程。 import torch import numpy …...
mac:大模型系列测试
0 MAC 前几天经过学生优惠以及国补17K入手了mac studio,然后这两天亲自测试其模型行运用能力如何,是否支持微调、推理速度等能力。下面进入正文。 1 mac 与 unsloth 按照下面的进行安装以及测试,是可以跑通文章里面的代码。训练速度也是很快的。 注意…...
java高级——高阶函数、如何定义一个函数式接口类似stream流的filter
java高级——高阶函数、stream流 前情提要文章介绍一、函数伊始1.1 合格的函数1.2 有形的函数2. 函数对象2.1 函数对象——行为参数化2.2 函数对象——延迟执行 二、 函数编程语法1. 函数对象表现形式1.1 Lambda表达式1.2 方法引用(Math::max) 2 函数接口…...