【网络安全】网站常见安全漏洞 - 网站基本组成及漏洞定义
文章目录
- 引言
- 1. 一个网站的基本构成
- 2. 一些我们经常听到的安全事件
- 3. 网站攻击者及其意图
- 3.1 网站攻击者的类型
- 3.2 攻击者的意图
- 4. 漏洞的分类
- 4.1 按来源分类
- 4.2 按危害分类
- 4.3 常见漏洞与OWASP Top 10
引言
在当今的数字化时代,安全问题已成为技术领域不可忽视的核心话题。作为开发人员,无论是构建日常应用还是面向高安全需求的业务场景,掌握基础的安全知识都是必不可少的。安全不仅仅是专门从事安全岗位人员的职责,也是开发工作中的关键一环。尤其是在涉及金融、医疗、政府等敏感行业时,了解并应用基本的安全规范,能够有效降低风险,保护数据和系统免受潜在威胁。于是乎,这个专题笔者就带大家了解下,网络安全的基础知识。
1. 一个网站的基本构成
- 前端(Frontend)
- 用户交互界面(HTML、CSS、JavaScript)
- 常见的框架和库:React、Vue、jQuery
- 静态资源(图像、视频、字体等)
- 后端(Backend)
- 服务器逻辑(处理请求、生成响应)
- 开发语言:Java、Python、PHP、Node.js 等
- 数据存储与操作:数据库(MySQL、MongoDB 等)
- 通信(Networking)
- 协议:HTTP/HTTPS
- Web API(RESTful、GraphQL)
- 基础设施(Infrastructure)
- 服务器和操作系统(Linux、Windows)
- 部署平台和云服务(AWS、Azure、阿里云等)
2. 一些我们经常听到的安全事件
- 著名的漏洞案例
- Heartbleed(心脏出血漏洞):导致敏感信息泄露的OpenSSL漏洞。
- Equifax 数据泄露事件:因未及时修补Struts框架漏洞,导致1.4亿条个人数据被窃取。
- Log4Shell 漏洞:Log4j日志库的远程代码执行漏洞,影响全球大量服务。
- 常见攻击类型的影响
- 数据泄露:攻击者窃取用户数据(如用户名、密码、信用卡信息)。
- 网站瘫痪:DDoS(分布式拒绝服务)攻击导致服务不可用。
- 恶意篡改:网页被挂马或被非法更改内容。
3. 网站攻击者及其意图
3.1 网站攻击者的类型
- 黑客(Hackers)
- 白帽黑客:帮助企业查找和修复漏洞,合法渗透测试。
- 黑帽黑客:恶意攻击者,目的是窃取数据或破坏系统。
- 灰帽黑客:介于合法与非法之间的行为,有时未经授权进行漏洞扫描。
- 脚本小子(Script Kiddies)
- 缺乏专业技能,使用现成的工具或脚本攻击网站。
- APT 组织(Advanced Persistent Threats)
- 高技术的攻击组织,通常有明确的经济或政治目标。
- 内部人员(Insiders)
- 拥有系统权限,可能因利益或矛盾而进行恶意操作。
3.2 攻击者的意图
- 经济利益
- 窃取信用卡信息进行交易。
- 勒索软件攻击,要求支付比特币。
- 政治动机
- 涉及政府或机构的网站被攻击,传播意识形态或信息。
- 恶作剧
- 对知名网站进行涂鸦或修改,炫耀技能。
- 情报收集
- 通过漏洞获取敏感数据,如商业机密或国家安全信息。
4. 漏洞的分类
4.1 按来源分类
- 设计缺陷
- 逻辑漏洞:例如,电子商务网站的优惠券机制被滥用。
- 协议漏洞:例如,HTTP协议的设计缺陷易受中间人攻击。
- 实现问题
- 编码漏洞:如输入验证不当导致SQL注入。
- 配置错误:如默认密码未修改或开放了不必要的端口。
- 第三方问题
- 使用漏洞百出的第三方库或插件。
4.2 按危害分类
- 信息泄露漏洞
- 未加密的敏感数据。
- 错误的访问权限配置。
- 身份验证漏洞
- 弱密码或未启用多因素认证。
- Session劫持。
- 远程代码执行漏洞
- 攻击者可在服务器上运行恶意代码。
- 拒绝服务漏洞
- 导致服务器过载或资源耗尽。
4.3 常见漏洞与OWASP Top 10
- 注入攻击(Injection)
- SQL注入、命令注入等。
- 跨站脚本(XSS)
- 在页面中插入恶意脚本。
- 跨站请求伪造(CSRF)
- 利用用户的认证状态发送恶意请求。
- 失效的访问控制
- 允许未授权用户访问敏感功能。
后续还会更新2篇文章,分别是关于前端和后端的常见漏洞类型。
博客主页: 总是学不会.
相关文章:
【网络安全】网站常见安全漏洞 - 网站基本组成及漏洞定义
文章目录 引言1. 一个网站的基本构成2. 一些我们经常听到的安全事件3. 网站攻击者及其意图3.1 网站攻击者的类型3.2 攻击者的意图 4. 漏洞的分类4.1 按来源分类4.2 按危害分类4.3 常见漏洞与OWASP Top 10 引言 在当今的数字化时代,安全问题已成为技术领域不可忽视的…...
Redis——个人笔记留存
今日内容 1. redis1. 概念2. 下载安装3. 命令操作1. 数据结构4. 持久化操作5. 使用Java客户端操作redis Redis 1. 概念: redis是一款高性能的NOSQL系列的非关系型数据库 1.1.什么是NOSQLNoSQL(NoSQL Not Only SQL),意即“不仅仅是SQL”,是…...
人工智能_大模型091_大模型工作流001_使用工作流的原因_处理复杂问题_多轮自我反思优化ReAct_COT思维链---人工智能工作笔记0236
# 清理环境信息,与上课内容无关 import os os.environ["LANGCHAIN_PROJECT"] "" os.environ["LANGCHAIN_API_KEY"] "" os.environ["LANGCHAIN_ENDPOINT"] "" os.environ["LANGCHAIN_TRACING_V…...
linux上jdk1.8安装elasticsearch6.8.5踩坑总结
先在windows上下载了elasticsearch8安装成功后,本来是想在linux上也安装一个一样的版本,然后发现各种启动不了,查了一天原来jdk版本不同,需要下载不同版本的elasticsearch,我测试了8,7,6&#x…...
Three.js教程_02场景、相机与渲染器全面解析
Three.js 场景、相机与渲染器全面解析 Three.js 是一个强大的 JavaScript 库,用于在网页上创建和渲染 3D 图形。本文将深入解析 Three.js 中的几个核心概念,并介绍它们的用法及拓展方法。内容包括场景、相机、渲染器、网格对象、光源、坐标轴、控制器和…...
【数据结构】动态规划-基础篇
针对动态规划问题,我总结了以下5步: 确定dp数组以及下标的含义; 递推公式; dp数组如何初始化; 遍历顺序; 打印dp数组(用来debug); 以上5步适用于任何动态规划问题&#x…...
opencv读取展示图片
import time import cv2 # 创建窗口 cv2.namedWindow(window, cv2.WINDOW_AUTOSIZE) # cv2.WINDOW_AUTOSIZE自动大小,不允许修改窗口大小 cat cv2.imread("./6.jpg", 0) # opencv默认读取bgr,0代表的是灰度图模式,1是彩色图 # 展示名字为window…...
网站访问统计A/B测试与数据分析
在网站运营中,访问统计和数据分析是优化用户体验和提高转化率的关键工具。A/B测试作为一种数据驱动的方法,能够帮助网站运营者验证设计和内容的有效性。A/B测试的基本原理是同时展示两个不同的版本(A和B),通过比较它们…...
前端开发 之 15个页面加载特效下【附完整源码】
文章目录 十二:铜钱3D圆环加载特效1.效果展示2.HTML完整代码 十三:扇形百分比加载特效1.效果展示2.HTML完整代码 十四:四色圆环显现加载特效1.效果展示2.HTML完整代码 十五:跷跷板加载特效1.效果展示2.HTML完整代码 十二ÿ…...
详解八大排序(六)------(三路划分,自省排序,归并排序外排序)
文章目录 1. 快排之三路划分1. 1 三路划分的诞生由来1. 2 三路划分的具体思路1. 3 代码实现 2. 快排之自省排序2. 1 自省排序的目的2. 2 自省排序的思路2. 3 自省排序的实现代码 3. 归并排序外排序3. 1 外排序介绍3. 2 归并排序外排序的思路3. 3 归并排序的实现代码 1. 快排之三…...
【Java从入门到放弃 之 从字节码的角度异常处理】
从字节码的角度异常处理 生成字节码Javap 命令的使用基本语法 字节码文件testTryCatchtestTryCatchFinallytestTryWithResource 如果大家对与java的异常使用还有问题或者还不太了解,建议先看一下我之前写的Java异常了解一下基本 的异常处理知识,再看这篇…...
中的元空间(Metaspace)一些关键点的总结)
Java虚拟机(JVM)中的元空间(Metaspace)一些关键点的总结
• 元空间的引入:在Java 8中,JVM的内存结构经历了变化,其中方法区被替代为元空间(Metaspace)。元空间用于存储类的元数据信息,包括类的名称、方法、字段等信息。 • 存储位置:与方法区不同&…...
小程序 模版与配置
WXML模版语法 一、数据绑定 1、数据绑定的基本原则 (1)在data中定义数据 (2)在WXML中使用数据 2、在data中定义页面的数据 3、Mustache语法的格式(双大括号) 4、Mustache语法的应用场景 (…...
当大的div中有六个小的div,上面三个下面三个,当外层div高变大的时候我希望里面的小的div的高也变大
问: 当大的div中有六个小的div,上面三个下面三个,当外层div高变大的时候我希望里面的小的div的高也变大 回答: 这时候我们就不能写死六个小的div的高度,否则上下的小的div的间距就会变大,因为他们的高度…...
MySQL——操作
一.库的操作 1.基本操作 创建数据库 create database 数据库名称; 查看数据库 show databases; 删除数据库 drop database 数据库名称; 执行删除之后的结果: 数据库内部看不到对应的数据库 对应的数据库文件夹被删除,级联删除,里面的数据表全部被删…...
Python语法之正则表达式详解以及re模块中的常用函数
正则表达式详解及re模块中的常用函数 概念、作用和步骤 概念: 本身也是一个字符串,其中的字符具有特殊含义,将来我们可以根据这个字符串【正则表达式】去处理其他的字符串,比如可以对其他字符串进行匹配,切分…...
《地球化学》
《地球化学》主要报道近代地球化学, 特别是其主要分支学科, 如岩石地球化学、元素地球化学、有机地球化学、环境地球化学、矿床地球化学、实验地球化学、生物地球化学、天体化学、计算地球化学、分析地球化学、海洋地球化学、沉积地球化学、纳米地球化学、油气地球化学和同位素…...
alpine openssl 编译
./config no-shared --prefix/usr/local/openssl apk add musl-dev gcc g apk add linux-headers ssh root 登录 编辑 SSH 配置文件 打开 SSH 配置文件 /etc/ssh/sshd_config: vi /etc/ssh/sshd_config PermitRootLogin yes...
【AI模型对比】AI新宠Kimi与ChatGPT的全面对比:技术、性能、应用全揭秘
文章目录 Moss前沿AI技术背景Kimi人工智能的技术积淀ChatGPT的技术优势 详细对比列表模型研发Kimi大模型的研发历程ChatGPT的发展演进 参数规模与架构Kimi大模型的参数规模解析ChatGPT的参数体系 模型表现与局限性Kimi大模型的表现ChatGPT的表现 结论:如何选择适合自…...
【C#设计模式(17)——迭代器模式(Iterator Pattern)】
前言 迭代器模式可以使用统一的接口来遍历不同类型的集合对象,而不需要关心其内部的具体实现。 代码 //迭代器接口 public interface Iterator {bool HashNext();object Next(); } //集合接口 public interface Collection {Iterator CreateIterator(); } //元素迭…...
使用VSCode开发Django指南
使用VSCode开发Django指南 一、概述 Django 是一个高级 Python 框架,专为快速、安全和可扩展的 Web 开发而设计。Django 包含对 URL 路由、页面模板和数据处理的丰富支持。 本文将创建一个简单的 Django 应用,其中包含三个使用通用基本模板的页面。在此…...
Leetcode 3577. Count the Number of Computer Unlocking Permutations
Leetcode 3577. Count the Number of Computer Unlocking Permutations 1. 解题思路2. 代码实现 题目链接:3577. Count the Number of Computer Unlocking Permutations 1. 解题思路 这一题其实就是一个脑筋急转弯,要想要能够将所有的电脑解锁&#x…...
微信小程序 - 手机震动
一、界面 <button type"primary" bindtap"shortVibrate">短震动</button> <button type"primary" bindtap"longVibrate">长震动</button> 二、js逻辑代码 注:文档 https://developers.weixin.qq…...
C++中string流知识详解和示例
一、概览与类体系 C 提供三种基于内存字符串的流,定义在 <sstream> 中: std::istringstream:输入流,从已有字符串中读取并解析。std::ostringstream:输出流,向内部缓冲区写入内容,最终取…...
LLM基础1_语言模型如何处理文本
基于GitHub项目:https://github.com/datawhalechina/llms-from-scratch-cn 工具介绍 tiktoken:OpenAI开发的专业"分词器" torch:Facebook开发的强力计算引擎,相当于超级计算器 理解词嵌入:给词语画"…...
MinIO Docker 部署:仅开放一个端口
MinIO Docker 部署:仅开放一个端口 在实际的服务器部署中,出于安全和管理的考虑,我们可能只能开放一个端口。MinIO 是一个高性能的对象存储服务,支持 Docker 部署,但默认情况下它需要两个端口:一个是 API 端口(用于存储和访问数据),另一个是控制台端口(用于管理界面…...
抽象类和接口(全)
一、抽象类 1.概念:如果⼀个类中没有包含⾜够的信息来描绘⼀个具体的对象,这样的类就是抽象类。 像是没有实际⼯作的⽅法,我们可以把它设计成⼀个抽象⽅法,包含抽象⽅法的类我们称为抽象类。 2.语法 在Java中,⼀个类如果被 abs…...
Monorepo架构: Nx Cloud 扩展能力与缓存加速
借助 Nx Cloud 实现项目协同与加速构建 1 ) 缓存工作原理分析 在了解了本地缓存和远程缓存之后,我们来探究缓存是如何工作的。以计算文件的哈希串为例,若后续运行任务时文件哈希串未变,系统会直接使用对应的输出和制品文件。 2 …...
WEB3全栈开发——面试专业技能点P4数据库
一、mysql2 原生驱动及其连接机制 概念介绍 mysql2 是 Node.js 环境中广泛使用的 MySQL 客户端库,基于 mysql 库改进而来,具有更好的性能、Promise 支持、流式查询、二进制数据处理能力等。 主要特点: 支持 Promise / async-await…...
CppCon 2015 学习:REFLECTION TECHNIQUES IN C++
关于 Reflection(反射) 这个概念,总结一下: Reflection(反射)是什么? 反射是对类型的自我检查能力(Introspection) 可以查看类的成员变量、成员函数等信息。反射允许枚…...