【生产实习】day1

2024/7/7

网络安全的基本要求和特性

1.保密性

2.完整性

3.可用性

4.认证

5.授权

6.不可抵赖性

7.安全性

黑客攻击的思路和步骤

1.情报

2.入侵

3.攻击

4.维持访问

5.逃避检测

6.报告结果

黑客攻击手段

1.钓鱼攻击

2.恶意软件

3.拒绝服务攻击

4.密码破解

5.中间攻击

6.SQL注入

7.零日漏洞攻击

8.社交工程

TOP10漏洞简介

1.SQL注入

​ 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

2.XSS漏洞（跨站脚本攻击）

1）反射型XSS（Reflected XSS）

​ 非持久化，需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。

2）存储型XSS（Stored XSS）

​ 持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，插入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。

3）DOM型XSS（DOM-based XSS）

​ 不经过后端，DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞，攻击者向服务器发送一个带有恶意JS代码的请求，服务器的响应不会以任何形式包含攻击者的脚本。当用户的浏览器处理这个响应时，DOM对象就会处理XSS代码，导致存在XSS漏洞。

3.敏感数据泄露

​ 近年来，敏感数据泄露已经成为了一最常见、最具影响力的攻击，一般我们的敏感信息包括密码、财务数据、医疗数据等，由于web应用或者API未加密或不正确的保护敏感数据，这些数据极易遭到攻击者利用，攻击者可能使用这些数据来进行一些犯罪行为，因此，未加密的信息极易遭到破坏和利用。

4. 失效的身份认证

​ 通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或者暂时或永久的冒充其他用户的身份。

5.XML外部实体

​ XML在引用外部实体的时候，攻击者可以构造恶意的XML代码，以造成任意文件读取、命令执行甚至是中断服务器。

6.失效的访问控制

​ 访问控制即保护资源不被非法访问和使用，目前应用最多的是基于角色的访问控制机制。失效的访问控制就是攻击者通过各种手段提升自己的权限，越过访问控制，使访问控制失效，这样攻击者就可以冒充用户、管理员或拥有特权的用户，或者创建、访问、更新或删除任何记录。

7.安全配置错误

​ 安全配置错误是比较常见的漏洞，由于操作者的不当配置(默认配置，临时配置，开源云存储，http标头配置，以及包含敏感信息的详细错误)，导致攻击者可以利用这些配置获取到更高的权限，安全配置错误可以发生在各个层面，包含平台、web服务器、应用服务器、数据库、架构和代码。

8.不安全的反序列化

​ 序列化：序列化 (Serialization)是将对象的状态信息转换为可以存储或传输(一般是以二进制的形式保存)的形式的过程。
​ 反序列化： 与序列化的过程刚好相反。

​ 该漏洞的原因出自于如果应用对恶意构造的用户输入的数据进行反序列化，这样就会产生非预期的对象，从而有可能产生远程代码执行。或者应用中存在可以在反序列化过程中或者之后被改变行为的类，则攻击者可以通过改变应用逻辑或者实现远程代码执行攻击。

9.使用含有已知漏洞的组件

​ 由于现在的服务器都需要使用很多的组件，组件（例如：库、框架和其他软件模块）运行和应用程序相同的权限。如果使用含有已知漏洞的组件，这样的攻击可以造成严重的数据丢失或服务器接管。使用含有已知漏洞的组件的应用程序和API，可能会破坏应用程序防御、造成各种攻击并产生严重影响。

10.不足的日志记录和监控

​ 不足的日志记录和监控，以及事件响应集成的丢失或无效，使得攻击者能够进一步攻击系统、保持持续性或转向更多系统，以及篡改、提取或销毁数据。大多数缺陷研究显示，缺陷被检测出的时间超过200天，并且通常通过外部检测方检测，而不是通过内部进程或监控检测。

​ 日志记录：日志记录是一个系统的最重要的功能之一。日志记录包括登录成功记录、登录失败记录、访问控制记录等，用来记录服务器的各种信息。

SSRF

CSRF