+ - [1. SQL注入攻击](#1_SQL_39)
- [2. 文件上传漏洞](#2__47)
- [3. 跨站脚本攻击(XSS)](#3_XSS_55)
- [4. 跨站请求伪造(CSRF)](#4_CSRF_62)
- [5. 目录遍历/本地文件包含(LFI/RFI)](#5_LFIRFI_69)
🌈你好呀!我是 是Yu欸
🌌 2024每日百字篆刻时光,感谢你的陪伴与支持 ~
🚀 欢迎一起踏上探险之旅,挖掘无限可能,共同成长!
前些天发现了一个人工智能学习网站,内容深入浅出、易于理解。如果对人工智能感兴趣,不妨点击查看。
写在最前面
本期继续hexo网站搭建 ~ 随着这个平台的搭建,也伴随着一系列的网络安全挑战。本指南提供一个较全面的网络安全策略概览,帮助建立起初步的防御体系。
接了一个活动测评,发现CDN能加速网页访问,EO能增强网页安全防护,有意思
先来mark一下和测评无关的前置部分,也算一个小小的预告吧hh
所有关于hexo的博客的文章,如果感兴趣可以回顾:
hexo博客7:构建简单的多层安全防御体系
hexo博客6:自定义域名 购买、配置、更新部署
hexo博客5:更新部署&域名配置
hexo博客4:发布文章
hexo博客3:主题选择
hexo博客2:初始化
hexo博客1:环境配置
或许可以参照安全防护产品动态进行简单防护搭建,也可以直接购买相关安全防护产品。
理解全面安全策略的重要性
在我们深入各种具体攻击和防御策略之前,首先要明白,没有任何一个安全措施能够单独保护你的网站免受所有类型的攻击。因此,构建一个多层次的安全策略体系至关重要。这意味着要从不同的角度和层次上保护你的网站,包括但不限于物理安全、网络安全、应用程序安全等。
防御常见的网络攻击
1. SQL注入攻击
SQL注入是攻击者试图通过在网站输入字段中插入恶意SQL代码,来操纵或破坏后端数据库的一种攻击方式。防御措施包括:
- 参数化查询:使用参数而不是将用户输入直接嵌入SQL查询。
- 使用ORM(对象关系映射)框架:这些框架通常会自动处理用户输入的安全性。
- 输入验证:确保用户输入符合预期的格式。
2. 文件上传漏洞
这种漏洞出现在网站允许用户上传文件但未能正确验证这些文件的情况下。攻击者可以上传恶意文件,进而执行恶意代码。防御措施包括:
- 严格的文件类型和内容验证:仅允许特定类型的文件上传,并检查文件内容是否符合预期。
- 设置文件上传大小限制:减少攻击者上传大型恶意文件的机会。
- 服务器端文件验证:设置文件上传白名单,确保所有文件上传都经过服务器端的验证。
3. 跨站脚本攻击(XSS)
XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,常见于网站未能正确处理用户输入的情况。防御措施包括:
- 输入输出编码:确保将用户输入的数据作为纯文本处理,而不是作为代码执行。
- 使用内容安全策略(CSP):限制网页上可以执行的脚本类型和来源。
4. 跨站请求伪造(CSRF)
CSRF攻击利用了网站对用户的信任,诱导用户执行未经授权的操作。防御措施包括:
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!