真的,Web安全入门看这个就够了

VIP文章 于 2023-04-12 14:05:44 发布
阅读量289 收藏 1
点赞数
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QL_2023/article/details/130105616
版权

第一章 我的世界安全观

1.1 Web安全简史

在Web发展初期由于对安全问题认知认识不足,导致发生过许多的安全问题,且遗留下许多历史问题:如PHP语言至今只能依靠较好的代码规范来防范文件包含漏洞,而无法从语言本身来杜绝此类安全问题的发生。常见的安全漏洞:SQL注入、XSS攻击、CSRF。

1.2 黑帽子,白帽子

白帽子是指那些精通安全技术,工作在反黑客领域的专家们,他们的工作出发点是解决所有的安全问题,所以他们看待问题的方面更加全面、宏观。黑帽子是指使用黑客技术对网络进行破坏、甚至是进行犯罪的群体,他们的主要目的是入侵系统,找到对他们有效的数据,因此他们只需要以点为突破,找到对他们最有利的一点进行渗透,所以他们思考问题的方向是有选择性的、微观的。

1.3 返璞归真,揭秘安全的本质

通过一个安全检查的过程,梳理未知的人或物,将其划分为不同的信任级别的区域,两个不同信任域之间的边界叫做信任边界。

安全问题的本质是信任问题。安全方案的设计基础是建立在信任关系之上的,例如保管文件的“锁”,你得确保锁的工匠是信任的,他没有私自保管一把额外的钥匙;抽屉的工匠失是信任的,他没有给抽屉安装后门;钥匙也需要保管在一个安全不会出现问题的地方。

1.5 安全三要素

机密性

保护数据内容不会泄露,加密是完成机密性的常见手段。

完整性

要求保护数据内容是完整的、没有被篡改的。常见的保证一致性的手段是数字签名。

可用性

保护资源“随需而得。例如:防范DOS攻击。

他们在安全领域还可以扩充增加可审计性、不可抵赖性等,但最重要、最基本的还是机密性、完整性、可用性。

Web安全入门笔记,需要的小伙伴可以自取!

1.6 如何实施安全评估

资产等级划分

明确工作的目标是什么,要保护什么。互联网的核心问题是数据安全的问题,对互联网公司的资产进行等级划分就是对数据做等级划分。有的公司关心客户数据,有的公司关心员工资料信息,所以根据公司的业务的不同,对其进行的侧重点也不同。

威胁分析(威胁建模STRIDE模型)
Spoofing(伪装)

冒充他人身份

Tampering(篡改)

修改数据或代码

Repudiation(抵赖)

否认做过的事

InformationDisclosure(信息泄露)

机密信息泄露

Denial of Service(拒绝服务)

拒绝服务

Elevation of Privilege(提升权限)

未经授权获得许可

风险分析

请在此添加图片描述

根据风险因素所对应的权重进行相加算出权值将12-15分之间的定义为高威胁。将8-11分之间的定义为中威胁。将0-7分之间的定义为低威胁。

设计安全方案

针对资产等级划分、威胁分析、风险分析阶段评估出一个合适的解决方案。

1.7 白帽子兵法

Secure By Default 原则

制定黑名单、白名单。白名单相较于黑名单来说更安全,但白名单并不是完全安全的,因为安全建立与信任,白名单中若出现不安全的名单那么信任列表将会变得不可信。

最小权限原则授予主体必要的权限,不要过度授权,这样能有效的减少系统、网络、应用、数据库出错的机会。

纵深防御原则

从不同层面、不同角度对系统做出整体的解决方案,而不是一个安全方案做两遍或者是多遍(木桶理论)。

在正确的地方做正确的事,防止造成”乌龙“(例如XSS过滤关键字可能会过滤“1<2”->”1 2“.

数据与代码分离(数据就是数据,不能被执行为代码)
不可预测性–>加密算法、随机数、哈希(随机数,比如抓取页面id=随机数,防止csrf的随机数token)

第二篇 客户端脚本安全

第二章 浏览器安全

2.1 同源策略

同源策略限制了来自不同源(origin)的文档和脚本。这一策略极其重要,如果没有同源策略,可能a.com的一段JS脚本,在b.com未曾加载此脚本时,也可以随意修改b.com的页面(在浏览器显示中)。为了不发生混乱,浏览器提出“Origin”(源)的概念。来自不同Origin的对象无法相互干扰。

请在此添加图片描述

从上表可以看出,影响”源”的因素有:

1.host(域名或IP地址)
2.子域名
3.端口
4.协议

需要注意的是,对于当前页面来说,页面内存放JS文件的域并不重要,重要的是加载JS的页面所在的域是什么。举例说明:

a.com通过代码<script src=http://b.com/b.js ></script>加载了b.com上的b.js。因为b.js是运行在a.com上的,所以b.js的域就是a.com。

在浏览器中,<script> <img> <iframe> <link>等标签都可以跨域加载资源,而不受同源策略的限制。这些带”src”属性的标签每次加载时,实际上是由浏览器发起了一次GET请求。不同于XMLHttpRequest的是,通过src属性加载的资源,浏览器限制了JS的权限,使其不能读,写返回的内容。对于XMLHttpRequest,它收到同源策略的约束,不能跨域访问资源,在AJAX应用的开发中尤其需要注意到这一点。

2.2 浏览器沙盒

Sandbox 即沙箱,计算机技术发展到今天,Sandbox已经成为泛指“资源隔离类模块”的代名词。Sandbox的设计目的一般是为了让不可信任的代码运行在一定的环境中,限制不可信任的代码访问隔离区之外的资源。如果一定要跨越Sandbox边界产生数据交换,则只能通过指定的数据通道,比如经过封装的API来完成,在这些API中会严格检查请求的合法性。

2.4 高速发展的浏览器安全

浏览器对地址的解析便利可能会被黑客所利用,可以通过这些绕过一些安全模块或者是安全软件。如(“xxx.xxx.com\abc”->“xxx.xxx.com/abc”)

第三章 跨站脚本攻击

3.1 简介

反射型XSS

反射型XSS只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功。反射型XSS也叫做“非持久型XSS”

存储型XSS

存储型XSS会把用户输入的数据“存储”在服务器端。这种XSS具有很强的稳定性。比如博客网站若被写下了包含有恶意JavaScript代码,后面每个访问这个博客的用户都会执行一遍这个代码。

DOM型XSS

通过修改页面的DOM节点形成的XSS

最低0.47元/天 解锁文章
网安小当家
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB安全(客户端脚本安全
06-13
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。是一系列安全的培训课程,本课程重点是在客户端脚本安全
Web安全入门(基础知识总结)
aifan8968的博客
07-11 531
1.目前常用网络数据库主要有: Access,微软的小型数据库,主要用于小型网站,大都采用ASP+Access组合 Mssql,微软的大型数据库,主要用于中小型网站 MySQL,Oracle公司的中小型数据库,开源,主要用于中小型网站,大都采用PHP+MySQL组合 Oracle,Oracle公司的大型数据库,一般用于一些大型网站中 2.动态网页主要由ASP,PHP,AS...
「译」Web安全快速入门
weixin_33991727的博客
08-27 238
Web安全快速入门 ──几个Web开发人员必知的安全缩略语 原文:A quick introduction to web security 作者:Austin Tackaberry 发表时间:2018/8/15 译者:陈 昌茂 发表时间:2018/8/25 (转载请注明出处) 你有很多理由需要了解Web安全,比如: 你是一位关心个人...
web安全入门篇)
热门推荐
webbc的博客
07-25 6万+
web安全的概念太过于宽泛,博主自知了解的并不多,还需要继续学习。但是又想给今天的学习进行总结,所以今天特分享一篇关于web安全的文章,希望对初次遇到web安全问题的同学提供帮助。SQL注入 数据库表出现场景 当开发登录模块的时候,如果我们使用是mysql操作php,并非使用mysqli、PDO等;当查询用户是否存在的SQL是这样写的,select * from user where name =
web 安全入门(一)
bob_baobao的博客
11-30 413
一、XSS 1.1 定义 XSS(Cross Site Scripting),即为跨站脚本攻击,恶意攻击者向web页面中植入恶意js代码,当用户浏览到该页时,植入的代码被执行,达到恶意攻击用户的目的。 1.2 危害场景 通过document.cookie盗取cookie 使用js或css破坏页面正常的结构与样式 流量劫持 配合csrf攻击完成恶意请求 … 1.3 分类 (1)反射型 XSS 反...
WEB安全入门基础.pptx
08-24
WEB安全入门基础.pptx
web安全入门ppt课件.ppt
11-16
web安全入门ppt课件.ppt
WebAPI入门指南-闲话安全
02-26
WebAPI入门指南有些朋友回复问了些安全方面的问题,安全方面可以写的东西实在太多了,这里尽量围绕着WebAPI的安全性来展开,介绍一些安全的基本概念,常见安全隐患、相关的防御技巧以及WebAPI提供的安全机制。...
web安全应用入门.docx
11-29
web安全应用入门.docx
WEB安全入门-task0
最新发布
10-14
http协议、状态码、url请求协议
web安全入门(1)
weixin_45846085的博客
08-26 443
搭建环境kali 搭建kali环境一、下载Vmware虚拟机vmware虚拟机网上资源很多找到下载安装就可以了。二、下载kali镜像首先去kali linux的官网下载对应的镜像文件官网网址 www.kali.org Downloads 最新版本kali就行了三、安装kali首先打开Vmware虚拟机第一个典型安装简单下面会让你选择你下载的镜像然后选择安装liunx系统再往下,要填写虚拟机名称以及安装的位置。这个就自己填写就可以填写磁盘大小,这个自己看着给就可以了,然后将虚拟机存储为单个文件
web安全(一):Web安全入门
zmt0104的博客
11-08 3676
一、Web安全性措施 1、身份验证   验证是识别一个人或系统(如应用程序)以及检验其资格的过程。在Intenet领,验证一个用户的基本方法通常是用户名和口令。 2、授权   授权是确定用户是否被允许访问他所请求的资源的过程。例如:在银行系统中,你只能访问你的银行账户,而不能访问别人的银行账户。授权通常是通过一个访问控制列表(ACL)强制实施,该列表指定了用户和它所访问的资源的类型。 3、数据完...
简单web安全入门
Galaxy_0的博客
03-17 345
简单web安全入门
web安全入门
qq_43481905的博客
12-10 540
XSS 定义:一种网站应用程序的安全漏洞攻击,是代码注入的一种。 功能:通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的脚本。如果需要收集来自被攻击者的数据,可以自行架设一个网站,让被攻击者通过JavaScript等方式把收集好的数据作为参数提交,随后以数据库等形式记录在攻击者自己的服务器上。 常用的XSS攻击手段和目的有: 盗用cook...
Web安全入门
aiqu9621的博客
09-17 235
最近项目涉及到安全方面,自己特意了解了一下,记录在此,共同学习。 常见的web安全有以下几个方面 同源策略(Same Origin Policy) 跨站脚本攻击XSS(Cross Site Scripting) 跨站请求伪造CSRF(Cross-site Request Forgery) 点击劫持(Click Jacking) SQL注入(SQL Injection) 同源策略 含义...
web安全入门指南
weixin_45380141的博客
12-01 2268
基础了解《计算机网络》 《html学两天 段落、文本 js三四天》 《脚本语言 python php asp》 《apache等服务器搭建》 《sql语法》 《windows linux语法 安全设置 权限设置 用户管理 文件管理 》 学习 w3school学基础 收集常用手册 了解owasp top10 web渗透方向主要学习sql注入、xss、csrf。 工具主要了解sqlmap、nmap、xray等即可。 快速入门Web安全 第一,多看多收集多做 第二,多和安全圈大佬沟通(自己实践之后,尽量问思路
WEB安全_基础入门_基础概念
erfan_lang的博客
08-09 1000
目录名1.什么是名2.名在哪里注册3.什么是二级名多级名4.名发现对于安全测试的意义?DNS1.什么是DNS?2.本地HOSTS与DNS的关系?3.CDN是什么?与DNS的关系?4.当用户请求一个文件时,cdn的工作过程1.) 缓存投毒(DNS污染)2.) DNS劫持3.) 名劫持4.) DNS DDOS攻击5.) 反射式DNS放大攻击脚本语言1.常见的脚本语言类型有哪些?2.不同脚本类型与安全漏洞的关系?后门1.什么是后门?有哪些后门?2.后门在安全测试中的实际意义?3.关于后门需要了解哪些
Web 安全简明入门指南
bdfcfff77fa的博客
03-27 219
Web 安全已经是 Web 开发中一个重要的组成部分,而许多程序猿往往希望专注于程序的实现,而忽略了信息安全的实质。如果没有严谨地考虑到信息安全问题,等出了乱子之后反而会造成更严重的损失。所以要在开发网络应用时更注重 Web 安全,甚至努力成为一个白帽子黑客。不信任用户输入的数据,确保用户输入必须经过检查,目前许多成熟的 Web 框架都支持ORM 服务,大部分都基本防范了 SQL 注入。XSS 也很容易将恶意代码植入到网页,让看到网页的用户受到干扰,常见的重灾区包括BBS、留言板等。
信息安全入门——web安全介绍
小白一枚多多关注的博客
11-15 5278
通过上一篇文章使我们得知了信息安全与网络安全之间的区别以及分别做什么的,今天我将给大家介绍一下信息安全中较为庞大的一个分支中的分支——web安全web安全顾名思义,就是web服务的安全web服务通常由服务器、中间件、插件、内容构成,而攻击者就是通过某种特殊的手段已达到拿下web服务器为目的。 web安全每年都会由国际组织“开放式web应用程序安全项目(owasp)”来定义每年危害排前10的漏洞,但个人觉得每年这个榜基本上变化都不大,接下来我们就来了解一下该组织每年所定义的危害排名前十的漏洞(简称O
web安全零基础入门
08-13
- *1* *2* *3* [(2023版)零基础入门网络安全/Web安全,收藏这一篇就够了](https://blog.csdn.net/2301_76168381/article/details/129266018)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值