【网络安全】网站常见安全漏洞 - 网站基本组成及漏洞定义
文章目录
- 引言
- 1. 一个网站的基本构成
- 2. 一些我们经常听到的安全事件
- 3. 网站攻击者及其意图
- 3.1 网站攻击者的类型
- 3.2 攻击者的意图
- 4. 漏洞的分类
- 4.1 按来源分类
- 4.2 按危害分类
- 4.3 常见漏洞与OWASP Top 10
引言
在当今的数字化时代,安全问题已成为技术领域不可忽视的核心话题。作为开发人员,无论是构建日常应用还是面向高安全需求的业务场景,掌握基础的安全知识都是必不可少的。安全不仅仅是专门从事安全岗位人员的职责,也是开发工作中的关键一环。尤其是在涉及金融、医疗、政府等敏感行业时,了解并应用基本的安全规范,能够有效降低风险,保护数据和系统免受潜在威胁。于是乎,这个专题笔者就带大家了解下,网络安全的基础知识。
1. 一个网站的基本构成
- 前端(Frontend)
- 用户交互界面(HTML、CSS、JavaScript)
- 常见的框架和库:React、Vue、jQuery
- 静态资源(图像、视频、字体等)
- 后端(Backend)
- 服务器逻辑(处理请求、生成响应)
- 开发语言:Java、Python、PHP、Node.js 等
- 数据存储与操作:数据库(MySQL、MongoDB 等)
- 通信(Networking)
- 协议:HTTP/HTTPS
- Web API(RESTful、GraphQL)
- 基础设施(Infrastructure)
- 服务器和操作系统(Linux、Windows)
- 部署平台和云服务(AWS、Azure、阿里云等)
2. 一些我们经常听到的安全事件
- 著名的漏洞案例
- Heartbleed(心脏出血漏洞):导致敏感信息泄露的OpenSSL漏洞。
- Equifax 数据泄露事件:因未及时修补Struts框架漏洞,导致1.4亿条个人数据被窃取。
- Log4Shell 漏洞:Log4j日志库的远程代码执行漏洞,影响全球大量服务。
- 常见攻击类型的影响
- 数据泄露:攻击者窃取用户数据(如用户名、密码、信用卡信息)。
- 网站瘫痪:DDoS(分布式拒绝服务)攻击导致服务不可用。
- 恶意篡改:网页被挂马或被非法更改内容。
3. 网站攻击者及其意图
3.1 网站攻击者的类型
- 黑客(Hackers)
- 白帽黑客:帮助企业查找和修复漏洞,合法渗透测试。
- 黑帽黑客:恶意攻击者,目的是窃取数据或破坏系统。
- 灰帽黑客:介于合法与非法之间的行为,有时未经授权进行漏洞扫描。
- 脚本小子(Script Kiddies)
- 缺乏专业技能,使用现成的工具或脚本攻击网站。
- APT 组织(Advanced Persistent Threats)
- 高技术的攻击组织,通常有明确的经济或政治目标。
- 内部人员(Insiders)
- 拥有系统权限,可能因利益或矛盾而进行恶意操作。
3.2 攻击者的意图
- 经济利益
- 窃取信用卡信息进行交易。
- 勒索软件攻击,要求支付比特币。
- 政治动机
- 涉及政府或机构的网站被攻击,传播意识形态或信息。
- 恶作剧
- 对知名网站进行涂鸦或修改,炫耀技能。
- 情报收集
- 通过漏洞获取敏感数据,如商业机密或国家安全信息。
4. 漏洞的分类
4.1 按来源分类
- 设计缺陷
- 逻辑漏洞:例如,电子商务网站的优惠券机制被滥用。
- 协议漏洞:例如,HTTP协议的设计缺陷易受中间人攻击。
- 实现问题
- 编码漏洞:如输入验证不当导致SQL注入。
- 配置错误:如默认密码未修改或开放了不必要的端口。
- 第三方问题
- 使用漏洞百出的第三方库或插件。
4.2 按危害分类
- 信息泄露漏洞
- 未加密的敏感数据。
- 错误的访问权限配置。
- 身份验证漏洞
- 弱密码或未启用多因素认证。
- Session劫持。
- 远程代码执行漏洞
- 攻击者可在服务器上运行恶意代码。
- 拒绝服务漏洞
- 导致服务器过载或资源耗尽。
4.3 常见漏洞与OWASP Top 10
- 注入攻击(Injection)
- SQL注入、命令注入等。
- 跨站脚本(XSS)
- 在页面中插入恶意脚本。
- 跨站请求伪造(CSRF)
- 利用用户的认证状态发送恶意请求。
- 失效的访问控制
- 允许未授权用户访问敏感功能。
后续还会更新2篇文章,分别是关于前端和后端的常见漏洞类型。
博客主页: 总是学不会.
相关文章:
【网络安全】网站常见安全漏洞 - 网站基本组成及漏洞定义
文章目录 引言1. 一个网站的基本构成2. 一些我们经常听到的安全事件3. 网站攻击者及其意图3.1 网站攻击者的类型3.2 攻击者的意图 4. 漏洞的分类4.1 按来源分类4.2 按危害分类4.3 常见漏洞与OWASP Top 10 引言 在当今的数字化时代,安全问题已成为技术领域不可忽视的…...
Redis——个人笔记留存
今日内容 1. redis1. 概念2. 下载安装3. 命令操作1. 数据结构4. 持久化操作5. 使用Java客户端操作redis Redis 1. 概念: redis是一款高性能的NOSQL系列的非关系型数据库 1.1.什么是NOSQLNoSQL(NoSQL Not Only SQL),意即“不仅仅是SQL”,是…...
人工智能_大模型091_大模型工作流001_使用工作流的原因_处理复杂问题_多轮自我反思优化ReAct_COT思维链---人工智能工作笔记0236
# 清理环境信息,与上课内容无关 import os os.environ["LANGCHAIN_PROJECT"] "" os.environ["LANGCHAIN_API_KEY"] "" os.environ["LANGCHAIN_ENDPOINT"] "" os.environ["LANGCHAIN_TRACING_V…...
linux上jdk1.8安装elasticsearch6.8.5踩坑总结
先在windows上下载了elasticsearch8安装成功后,本来是想在linux上也安装一个一样的版本,然后发现各种启动不了,查了一天原来jdk版本不同,需要下载不同版本的elasticsearch,我测试了8,7,6&#x…...
Three.js教程_02场景、相机与渲染器全面解析
Three.js 场景、相机与渲染器全面解析 Three.js 是一个强大的 JavaScript 库,用于在网页上创建和渲染 3D 图形。本文将深入解析 Three.js 中的几个核心概念,并介绍它们的用法及拓展方法。内容包括场景、相机、渲染器、网格对象、光源、坐标轴、控制器和…...
【数据结构】动态规划-基础篇
针对动态规划问题,我总结了以下5步: 确定dp数组以及下标的含义; 递推公式; dp数组如何初始化; 遍历顺序; 打印dp数组(用来debug); 以上5步适用于任何动态规划问题&#x…...
opencv读取展示图片
import time import cv2 # 创建窗口 cv2.namedWindow(window, cv2.WINDOW_AUTOSIZE) # cv2.WINDOW_AUTOSIZE自动大小,不允许修改窗口大小 cat cv2.imread("./6.jpg", 0) # opencv默认读取bgr,0代表的是灰度图模式,1是彩色图 # 展示名字为window…...
网站访问统计A/B测试与数据分析
在网站运营中,访问统计和数据分析是优化用户体验和提高转化率的关键工具。A/B测试作为一种数据驱动的方法,能够帮助网站运营者验证设计和内容的有效性。A/B测试的基本原理是同时展示两个不同的版本(A和B),通过比较它们…...
前端开发 之 15个页面加载特效下【附完整源码】
文章目录 十二:铜钱3D圆环加载特效1.效果展示2.HTML完整代码 十三:扇形百分比加载特效1.效果展示2.HTML完整代码 十四:四色圆环显现加载特效1.效果展示2.HTML完整代码 十五:跷跷板加载特效1.效果展示2.HTML完整代码 十二ÿ…...
详解八大排序(六)------(三路划分,自省排序,归并排序外排序)
文章目录 1. 快排之三路划分1. 1 三路划分的诞生由来1. 2 三路划分的具体思路1. 3 代码实现 2. 快排之自省排序2. 1 自省排序的目的2. 2 自省排序的思路2. 3 自省排序的实现代码 3. 归并排序外排序3. 1 外排序介绍3. 2 归并排序外排序的思路3. 3 归并排序的实现代码 1. 快排之三…...
【Java从入门到放弃 之 从字节码的角度异常处理】
从字节码的角度异常处理 生成字节码Javap 命令的使用基本语法 字节码文件testTryCatchtestTryCatchFinallytestTryWithResource 如果大家对与java的异常使用还有问题或者还不太了解,建议先看一下我之前写的Java异常了解一下基本 的异常处理知识,再看这篇…...
Java虚拟机(JVM)中的元空间(Metaspace)一些关键点的总结
• 元空间的引入:在Java 8中,JVM的内存结构经历了变化,其中方法区被替代为元空间(Metaspace)。元空间用于存储类的元数据信息,包括类的名称、方法、字段等信息。 • 存储位置:与方法区不同&…...
小程序 模版与配置
WXML模版语法 一、数据绑定 1、数据绑定的基本原则 (1)在data中定义数据 (2)在WXML中使用数据 2、在data中定义页面的数据 3、Mustache语法的格式(双大括号) 4、Mustache语法的应用场景 (…...
当大的div中有六个小的div,上面三个下面三个,当外层div高变大的时候我希望里面的小的div的高也变大
问: 当大的div中有六个小的div,上面三个下面三个,当外层div高变大的时候我希望里面的小的div的高也变大 回答: 这时候我们就不能写死六个小的div的高度,否则上下的小的div的间距就会变大,因为他们的高度…...
MySQL——操作
一.库的操作 1.基本操作 创建数据库 create database 数据库名称; 查看数据库 show databases; 删除数据库 drop database 数据库名称; 执行删除之后的结果: 数据库内部看不到对应的数据库 对应的数据库文件夹被删除,级联删除,里面的数据表全部被删…...
Python语法之正则表达式详解以及re模块中的常用函数
正则表达式详解及re模块中的常用函数 概念、作用和步骤 概念: 本身也是一个字符串,其中的字符具有特殊含义,将来我们可以根据这个字符串【正则表达式】去处理其他的字符串,比如可以对其他字符串进行匹配,切分…...
《地球化学》
《地球化学》主要报道近代地球化学, 特别是其主要分支学科, 如岩石地球化学、元素地球化学、有机地球化学、环境地球化学、矿床地球化学、实验地球化学、生物地球化学、天体化学、计算地球化学、分析地球化学、海洋地球化学、沉积地球化学、纳米地球化学、油气地球化学和同位素…...
alpine openssl 编译
./config no-shared --prefix/usr/local/openssl apk add musl-dev gcc g apk add linux-headers ssh root 登录 编辑 SSH 配置文件 打开 SSH 配置文件 /etc/ssh/sshd_config: vi /etc/ssh/sshd_config PermitRootLogin yes...
【AI模型对比】AI新宠Kimi与ChatGPT的全面对比:技术、性能、应用全揭秘
文章目录 Moss前沿AI技术背景Kimi人工智能的技术积淀ChatGPT的技术优势 详细对比列表模型研发Kimi大模型的研发历程ChatGPT的发展演进 参数规模与架构Kimi大模型的参数规模解析ChatGPT的参数体系 模型表现与局限性Kimi大模型的表现ChatGPT的表现 结论:如何选择适合自…...
【C#设计模式(17)——迭代器模式(Iterator Pattern)】
前言 迭代器模式可以使用统一的接口来遍历不同类型的集合对象,而不需要关心其内部的具体实现。 代码 //迭代器接口 public interface Iterator {bool HashNext();object Next(); } //集合接口 public interface Collection {Iterator CreateIterator(); } //元素迭…...
二、部署docker
二、安装与部署 2.1 安装环境概述 Docker划分为CE和EE,CE为社区版(免费,支持周期三个月),EE为企业版(强调安全,付费使用)。 Docker CE每月发布一个Edge版本(17.03&…...
FFmpeg 4.3 音视频-多路H265监控录放C++开发十九,ffmpeg封装
封装就是将 一个h264,和一个aac文件重新封装成一个mp4文件。 这里我们的h264 和 aac都是来源于另一个mp4文件,也就是说,我们会将 in.mp4文件解封装成一路videoavstream 和 一路 audioavstream,然后 将这两路的 avstream 合并成一…...
ML 系列:第 39 节 - 估计方法:最大似然估计 (MLE)
目录 一、说明 二、什么是最大似然估计 (MLE)? 2.1 理解公式 2.2 MLE 的定义 2.3 我们何时使用 MLE? 三、结论 一、说明 在统计学领域,我们经常需要根据观察到的数据估计统计模型的参数。为此目的广泛使用的两种关键方法是最大似然估计 ( MLE…...
Linux 权限管理:用户分类、权限解读与常见问题剖析
🌟 快来参与讨论💬,点赞👍、收藏⭐、分享📤,共创活力社区。🌟 🚩用通俗易懂且不失专业性的文字,讲解计算机领域那些看似枯燥的知识点🚩 目录 💯L…...
网络原理之 UDP 协议
目录 1. UDP 协议报文格式 2. UDP 的特点 (1) 无连接 (2) 不可靠 (3) 面向数据报 (4) 全双工 3. 基于 UDP 的应用层协议 前文是:UDP 的使用 首先了解一下基础知识: 1. UDP 协议报文格式 传输层最重要的协议有两个,一个是 TCP&#x…...
并发框架disruptor实现生产-消费者模式
Disruptor是LMAX公司开源的高性能内存消息队列,单线程处理能力可达600w订单/秒。本文将使用该框架实现生产-消费者模式。一、框架的maven依赖 <!-- https://mvnrepository.com/artifact/com.lmax/disruptor --><dependency><groupId>com.lmax<…...
【Vivado】xdc约束文件编写
随手记录一下项目中学到的约束文件编写技巧。 时序约束 创建生成时钟 参考链接: Vivado Design Suite Tcl Command Reference Guide (UG835) Vivado Design Suite User Guide: Using Constraints (UG903) 通过Clocking Wizard IP创建的时钟(MMCM或…...
Redis使用场景-缓存-缓存雪崩
前言 之前在针对实习面试的博文中讲到Redis在实际开发中的生产问题,其中缓存穿透、击穿、雪崩在面试中问的最频繁,本文加了图解,希望帮助你更直观的了解缓存雪崩😀 (放出之前写的针对实习面试的关于Redis生产问题的博…...
概率论相关知识随记
作为基础知识的补充,随学随记,方便以后查阅。 概率论相关知识随记 期望(Expectation)期望的定义离散型随机变量的期望示例:掷骰子的期望 连续型随机变量的期望示例:均匀分布的期望 期望的性质线性性质期望的…...
【PlantUML系列】序列图(二)
目录 一、参与者 二、消息交互顺序 三、其他技巧 3.1 改变参与者的顺序 3.2 使用 as 重命名参与者 3.3 注释 3.4 页眉和页脚 一、参与者 使用 participant、actor、boundary、control、entity 和 database 等关键字来定义不同类型的参与者。例如: Actor&…...