Web 安全简明入门指南

已于 2024-01-11 19:14:06 修改
阅读量236 收藏
点赞数
分类专栏: 网安 文章标签: 安全 网络 学习 系统安全 web安全
于 2023-03-27 16:31:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bdfcfff77fa/article/details/129797890
版权

Web 安全已经是 Web 开发中一个重要的组成部分,而许多程序猿往往希望专注于程序的实现,而忽略了信息安全的实质。如果没有严谨地考虑到信息安全问题,等出了乱子之后反而会造成更严重的损失。所以要在开发网络应用时更注重 Web 安全,甚至努力成为一个白帽子黑客。

常见 Web 信息安全

一般来说 Web 安全需要符合三点安全要素:

  1. 保密性:通过加密等方法确保数据的保密性
  2. 完整性:要求用户取得的资料是完整而不可被篡改的
  3. 可用性:保证网站服务的持续可访问性

以下是常见的影响 Web 安全的攻击手段:

1. SQL注入

使用恶意的 SQL 语法去影响数据库内容:

// “--” 是 SQL 语句的注释符号
/user/profile?id=1";DROP TABLE user--

SELECT * FROM USER WHERE id = "1"; DROP TABLE user--

用户登录:

// password" AND 1=1-- 
SELECT * FROM USER WHERE username = "Mark"; AND 1=1-- AND PASSWORD="1234"

简单的防范手段:

不信任用户输入的数据,确保用户输入必须经过检查,目前许多成熟的 Web 框架都支持ORM 服务,大部分都基本防范了 SQL 注入。

2. XSS(Cross-Site Scripting)

XSS 也很容易将恶意代码植入到网页,让看到网页的用户受到干扰,常见的重灾区包括BBS、留言板等。实际上 XSS 的概念很简单,通过表单输入建立一些恶意网址、恶意图片网址或把 JavsScript 代码注入到 HTML中,当用户浏览页面时就会被触发。

<IMG SRC=""onerror="alert('XSS')">

更多关于XSS资料可以参考 XSS Filter Evasion Cheat Sheet【https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet】。另外也有中文版(链接是乌云镜像备份,顺便怀念一下)【https://wooyun.js.org/drops/XSS%20Filter%20Evasion%20Cheat%20Sheet%20%E4%B8%AD%E6%96%87%E7%89%88.html】

简易的防范手段方式:

不信任用户输入的任何资料,将所有输入内容编码并过滤。

3. CSRF

CSRF 跨站请求伪造又被称为 one-click attack 或者 session riding,通常缩写为CSRF 或 XSRF。在已登录的 Web 应用上执行非本意的操作的攻击方法。

举一个例子:假如一家银行执行转帐操作的 URL 地址如下:

http://www.examplebank.com/withdraw?account=AccoutName&amount=10000&for=PayeeName

那么,一个恶意攻击者可以在另一个网站上放置如下代码:

<img src="http://www.examplebank.com/withdraw?account=Mark&amount=10000&for=Bob">

如果用户的登录信息尚未过期的话,就会损失 10000 元。

简单的防范手段:

  1. 检查 Referer 头字段 这是比较基本的验证方式,通常 HTTP 头中有一个 Referer 字段,它的值应该和请求位置在同一个域下,因此可以通过验证网址是否相同来验证是不是恶意请求,但是有被伪造的可能。
  2. 添加验证 token 现在许多 Web 框架都提供在表单加入由服务器生成的随机验证 CSRF 的代码,可以辅助防止 CSRF 攻击。

4. DoS

DoS 攻击具体可以分为两种形式:带宽消耗型以及资源消耗型,它们都是通过大量合法或伪造的请求大量消耗网络以及硬件资源,以达到瘫痪网络和系统的目的。

带宽消耗型又分为分布式拒绝服务攻击和放大攻击:分布式拒绝服务攻击的特点是利用僵尸网络向受害者的服务器发送大量流量,目的在于占用其带宽。放大攻击和分布式拒绝服务攻击类似,是通过恶意放大流量限制受害者系统的带宽;其特点是利用僵尸网络通过伪造的源 IP(即攻击目标)向某些存在漏洞的服务器发送请求,服务器在处理请求后向伪造的源 IP 传送应答包,由于这些服务的特殊性导致应答包比请求包更大,因此只使用少量的带宽就可以使服务器器传送大量的响应到目标主机上。

资源消耗型又分为协议分析攻击(SYN Flood)、LAND攻击、CC攻击、僵尸网络攻击,应用程序级洪水攻击(Application level floods)等。

简易的防范手段:

  1. 防火墙 设定规则阻挡简单攻击
  2. 交换机 大多交换机都有限制访问的控制功能
  3. 路由器 大多交换机都有限制访问的控制功能
  4. 黑洞启动 将请求转发到不存在的位置

5.文件上传漏洞

许多 web 应用都允许用户把文件上传到服务器,由于我们不知道用户会上传什么类型的文件,如果不加注意的话就会引发很大的问题。

简单的防范手段:

  1. 阻止非法文件上传

    • 设定文件名白名单
    • 判断文件标头

  2. 阻止非法文件执行

    • 存储目录与 Web 应用分离
    • 存储目录无执行权限
    • 文件重命名
    • 图片压缩

  3. 加密安全

6. 加密安全

大多数网站都会提供会员注册的功能,要注意不要将密码的明文存入数据库。要如果你所登陆的网站在你忘记密码时,取回口令的功能会把密码明文发到你的邮箱,那么这个网站十有八九是没有做加密或者是用的是可逆加密算法。这时你的密码很容易会出现在“我的密码没加密”(http://plainpass.com/)这个网站上。不过即使将密码加密也未必安全,网上存在大量的破解网站(http://www.cmd5.com/),使用彩虹表就可以破解加密的密码。所以一般会针对不同用户使用随机产生的 salt 字符串加盐只后再进行加密的方式来提高密码的强健性。

sha3(salt + gap + password)

简单的入侵流程

  1. 侦查(Reconnaissance) 攻击者准备攻击之前进行的调查行为,使用搜索引擎或社工手段寻找目标的相关信息,方便之后的攻击
  2. 扫描(Scanning) 扫描目标主机的弱点,获取服务器操作系统、服务和运行状况等相关信息
  3. 获取权限(Gaining Access) 利用系统弱点获得服务器权限
  4. 维护权限(Maintaining Access) 维护当前获取到的权限,以便日后再次操作
  5. 清除痕迹(Clearing Tracks) 清除入侵的痕迹

     如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(黑客入门教程)

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

如果你想要先掌握python,那么你需要的话可以 👉Python学习路线(2023修正版)附涉及资料

 👉网安(黑客)全套学习视频👈
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
在这里插入图片描述

在这里插入图片描述

👉网安(黑客红蓝对抗)所有方向的学习路线👈
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
在这里插入图片描述

👉黑客必备开发工具👈
工欲善其事必先利其器。学习黑客常用的开发软件都在这里了,给大家节省了很多时间。

这份完整版的网络安全(黑客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】 

在这里插入图片描述​ 如果你有需要可以点击👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

程序媛尤尤
关注
专栏目录
Web安全基础篇
hack0919的博客
04-04 1812
黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
Web安全开发规范手册V1.0
weixin_33804582的博客
11-21 630
一、背景 团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。 二、编码安全 2.1 输入验证 说明 检查项 概述 任何来自客户端的数据,如URL和参数、HTTP头部、 Javascript戓其他嵌入代码提交的信息...
2024零基础入门Web安全,看这一篇就够了
最新发布
wangluo12138的博客
08-01 826
Web安全是指保护Web应用程序、Web服务器和Web浏览器免受各种网络攻击和恶意行为的方法和技术。随着越来越多的业务和活动转移到互联网上,Web安全成为越来越重要的问题。Web安全包括以下方面:认证和授权:确保只有经过身份验证和授权的用户可以访问敏感信息。输入验证:检查用户输入的数据是否合法,避免恶意用户通过输入恶意数据来攻击应用程序。防止跨站点脚本攻击(XSS):防止攻击者在Web页面上注入恶意脚本,从而获取用户信息或执行其他恶意操作。
Web安全入门(基础知识总结)
aifan8968的博客
07-11 580
1.目前常用网络数据库主要有: Access,微软的小型数据库,主要用于小型网站,大都采用ASP+Access组合 Mssql,微软的大型数据库,主要用于中小型网站 MySQL,Oracle公司的中小型数据库,开源,主要用于中小型网站,大都采用PHP+MySQL组合 Oracle,Oracle公司的大型数据库,一般用于一些大型网站中 2.动态网页主要由ASP,PHP,AS...
「译」Web安全快速入门
weixin_33991727的博客
08-27 263
Web安全快速入门 ──几个Web开发人员必知的安全缩略语 原文:A quick introduction to web security 作者:Austin Tackaberry 发表时间:2018/8/15 译者:陈 昌茂 发表时间:2018/8/25 (转载请注明出处) 你有很多理由需要了解Web安全,比如: 你是一位关心个人...
web安全入门篇)
热门推荐
webbc的博客
07-25 6万+
web安全的概念太过于宽泛,博主自知了解的并不多,还需要继续学习。但是又想给今天的学习进行总结,所以今天特分享一篇关于web安全的文章,希望对初次遇到web安全问题的同学提供帮助。SQL注入 数据库表出现场景 当开发登录模块的时候,如果我们使用是mysql操作php,并非使用mysqli、PDO等;当查询用户是否存在的SQL是这样写的,select * from user where name =
简明Python入门基础教程,最佳 Python 新手指南
03-12
- **未来展望**:随着Python语言的不断发展和技术生态的不断壮大,《简明Python教程》将继续保持其作为新手入门的最佳指南的地位,并随着版本的更新迭代,为更多的编程爱好者提供宝贵的学习资源。 综上所述,《简明...
Python Web框架Flask入门指南
# 1. 简介 ## 1.1 什么是Python Web框架 在当今互联网的时代,Web应用程序的开发需求越来越高。为了提高开发效率和代码的可维护性,许多开发者选择使用...- 简明易懂:Flask使用简洁的代码结构,提供了丰富的文档和示
Kotlin 入门教程指南
08-31
Kotlin 入门教程指南 概述:Kotlin 是一种在 Java 虚拟机上运行的静态类型编程语言,被称之为 Android 世界的 Swift,由 JetBrains 设计开发并开源。Kotlin 可以编译成 Java 字节码,也可以编译成 JavaScript,方便...
《PHP编程之简明入门》.pdf
12-14
《PHP编程之简明入门》是一本面向初学者的教程,旨在帮助读者快速掌握PHP编程基础知识,以便在Web开发领域奠定坚实的基础。该书详细介绍了从环境配置到实际应用的一系列步骤,涵盖了以下核心知识点: 1. **课程简介...
WEB安全学习笔记
chenrs727的博客
12-02 1991
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
WEB安全手册(sql注入,单字节注入)
08-04
常见的web安全知识,sql注入,单字节注入,双字节注入,xss等
[授客]WEB安全测试手册
07-12
[授客]WEB安全测试手册
web 安全入门(一)
bob_baobao的博客
11-30 431
一、XSS 1.1 定义 XSS(Cross Site Scripting),即为跨站脚本攻击,恶意攻击者向web页面中植入恶意js代码,当用户浏览到该页时,植入的代码被执行,达到恶意攻击用户的目的。 1.2 危害场景 通过document.cookie盗取cookie 使用js或css破坏页面正常的结构与样式 流量劫持 配合csrf攻击完成恶意请求 … 1.3 分类 (1)反射型 XSS 反...
web安全入门(1)
weixin_45846085的博客
08-26 467
搭建环境kali 搭建kali环境一、下载Vmware虚拟机vmware虚拟机网上资源很多找到下载安装就可以了。二、下载kali镜像首先去kali linux的官网下载对应的镜像文件官网网址 www.kali.org Downloads 最新版本kali就行了三、安装kali首先打开Vmware虚拟机第一个典型安装简单下面会让你选择你下载的镜像然后选择安装liunx系统再往下,要填写虚拟机名称以及安装的位置。这个就自己填写就可以填写磁盘大小,这个自己看着给就可以了,然后将虚拟机存储为单个文件
web安全(一):Web安全入门
zmt0104的博客
11-08 3743
一、Web安全性措施 1、身份验证   验证是识别一个人或系统(如应用程序)以及检验其资格的过程。在Intenet领域,验证一个用户的基本方法通常是用户名和口令。 2、授权   授权是确定用户是否被允许访问他所请求的资源的过程。例如:在银行系统中,你只能访问你的银行账户,而不能访问别人的银行账户。授权通常是通过一个访问控制列表(ACL)强制实施,该列表指定了用户和它所访问的资源的类型。 3、数据完...
简单web安全入门
Galaxy_0的博客
03-17 387
简单web安全入门
web安全入门
qq_43481905的博客
12-10 577
XSS 定义:一种网站应用程序的安全漏洞攻击,是代码注入的一种。 功能:通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的脚本。如果需要收集来自被攻击者的数据,可以自行架设一个网站,让被攻击者通过JavaScript等方式把收集好的数据作为参数提交,随后以数据库等形式记录在攻击者自己的服务器上。 常用的XSS攻击手段和目的有: 盗用cook...
Web安全入门
aiqu9621的博客
09-17 248
最近项目涉及到安全方面,自己特意了解了一下,记录在此,共同学习。 常见的web安全有以下几个方面 同源策略(Same Origin Policy) 跨站脚本攻击XSS(Cross Site Scripting) 跨站请求伪造CSRF(Cross-site Request Forgery) 点击劫持(Click Jacking) SQL注入(SQL Injection) 同源策略 含义...
快速入门:PHP简明教程实战指南
**第2章 Web客户端技术** - 章节讲解了Web客户端的工作原理,包括浏览器、HTML和JavaScript的基础知识。 - 实验二涉及客户端技术的实际操作,让学员了解如何利用这些技术构建动态网页。 **第3章 PHP语法** - 基本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值