导语
什么是网络安全?学习过程中需要注意哪些问题?
您可能会有这样的疑问,不过不用担心,我们将在本文中一一解答。
正文
意义
Web 安全,顾名思义,是一个源于确保Web 应用程序持续安全运行的领域。
Web应用是指从前端页面到后端服务的网站,本领域一般理解为网站及其配套的相关服务。
漏洞包括SQL注入漏洞、XSS漏洞、CSRF漏洞等。漏洞多种多样且有趣,使其成为初学者的好起点。
下面对Web安全中常见的漏洞进行介绍,主要从原理角度进行讲解,旨在帮助初学者更好地理解所涉及的漏洞。
常见漏洞
SQL注入
网站或Web 应用程序通常需要查询和修改数据。要操作数据,必须使用SQL语言(结构化查询语言(SQL),也称为SQL,是一种专门的编程语言)。
当网站使用SQL查询数据、用户输入的信息或提交的参数(例如您使用Baid登录特定网站时输入的“关键字”)时,
您提交的账户密码将参与SQL数据查询过程。如果用户提交有害数据,网站的运营可能会面临风险。
有害。
它将有害数据“插入”到SQL查询过程中,因此被称为“SQL注入”。
SQL注入漏洞经常导致数据泄露,例如过去几年发生的“社工库”和“楼”搜索,导致全球数十亿条密码泄露。
曝光等事件的背后,或多或少都有SQL注入的影子。
SQL注入定义为:
当Web应用程序将SQL语句传递给后端数据库进行数据库操作时。如果用户输入的参数没有经过严格过滤,
攻击者可以创建特殊的SQL 语句,将其直接输入数据库并执行它以检索或修改数据库中的数据。
XSS 跨站脚本攻击(XSS)
此外,由于网站没有严格过滤用户输入,一些恶意脚本代码可能会被用户的浏览器执行,从而导致XSS漏洞。
网站呈现基于HTML、CSS 和JS 等脚本语言。浏览器的作用是什么?简单来说,它只能被计算机“读取”。
脚本语言和代码被渲染成我们看到的图像和文本。
以百度为例。
当您与托管您网站的服务器通信时,您实际收到的是用HTML 等语言编写的源代码,您的浏览器会“翻译”该源代码。
出来。
(浏览器会将下面的源代码“翻译”到“百度搜索”页面)
如果您能够利用网站中的特定缺陷将您构建的恶意脚本代码“注入”到网站的源代码中,那么当其他用户浏览网页时,他们将看到您构建的恶意代码是“翻译的”。通过浏览器。对外造成危害(cookie泄露、键盘记录等)并形成XSS漏洞。
CSRF跨站请求伪造(Cross-Site Request Forgery)
这些漏洞通常不是直接攻击网站的服务器,而是通过欺骗用户与网站的正常交互来实现其目标。当我们与网站交互时,大多数交互都是基于浏览器和网站服务器之间的通信请求。例如,从特定购物网站订购商品、向指定人员汇款或检查您的考试成绩。
如果有可能在用户不知情的情况下通过浏览器“悄悄地”伪造一些请求操作并对用户产生有害攻击,
CSRF漏洞就形成了。
如前所述,XSS 漏洞如果涉及某些伪造,可能会允许在用户不知情的情况下执行恶意操作。
请求呢?这与CSRF 漏洞相符。因此,XSS和CSRF经常一起使用,威力巨大。
为了防止CSRF漏洞,您需要添加防御性令牌或引用者。我们将在云鹰安全的后续文章中详细讨论这一点。
DDOS 分布式拒绝服务
DDoS 攻击起源于20 世纪90 年代,经过二十多年的发展,已成为网络安全中最普遍的威胁之一。
严格来说,DDOS并不完全属于网络安全的范畴。对外提供服务的服务器和主机可能会受到DDOS攻击。
尽管存在风险,但DDOS 攻击在网络领域很常见且有害,因此我们将在这里讨论它们。
那么什么是DDOS攻击呢?当多个主机向目标网站或服务器发送大量请求,超过网站或服务器的处理能力时;
这种导致服务瘫痪的行为可以称为DDOS攻击。
举一个比较经典的例子,假设一家餐厅最多可以容纳50人同时就餐。假设餐厅在很短的时间内有数百或数千名顾客。
餐厅的正常点餐不可避免地会受到灾难性的影响。
目前针对DDOS 攻击正在开发多种攻击模式和技术,其中重点是谨慎发起的DDOS 攻击。
攻击往往会过度占用合法服务请求与正常用户请求的服务资源,导致服务器无法为合法用户提供服务。
用户说明。
方法论
孤舟即将起航,骑士们也将踏上征程。在您开始网络安全之旅之前,我想分享一些见解和经验,以帮助您探索和学习。
1. 实际操作
我知道纸上学的东西毕竟是浅薄的,所以我还得细细研究。在学习漏洞原理和利用技术时,最好不要只阅读技术文章。相关的介绍性文章通常侧重于解释想法,以确保整篇文章的一致性。一些技术细节将被忽略。例如,程序运行的环境、设备的网络状态、相关应用组件的具体版本号等。然而,对于初学者来说,这些技术细节也很重要。除非您自己实践过并重现了相同的漏洞和利用技术,否则您不会接触到这些被忽视的细节。细节决定成败,对漏洞利用过程的不完全理解对进一步的学习和探索有着不可估量的影响。同时,通过实际操作产品,对所学知识的理解和记忆就会牢固建立,印象也会加深。漏洞的类型多种多样,漏洞利用的成败取决于利用的条件。因此,在通过练习复现漏洞的同时,也需要认真做好笔记。
2. 构建系统
什么是系统?系统的本质是对各类知识的灵活连接和运用。在这个系统中,知识不再是分散在大脑各处的孤立的信息点,而是一个相互补充、相互配合的系统的、有机的整体。其实,这并不难理解。举个简单的例子,如果我们不是专家,面前有一份中文技术文档,我们可以读到最后,但是一个不懂中文的外国人,如果他读了这个文档,就可以读懂该文档。文章,他根本就读不完。掌握一些中文基础知识可以让你读完不完全理解的专业文章。换句话说,阅读能力储存在我们的大脑中。我们已经拥有的这些能力可以集成到知识系统中。在这种情况下,学习新知识可以让你充分发现构建的系统所形成的能力。好处是把完全不熟悉的知识分解成小知识点。然后结合系统已有的功能,一一克服这些不熟悉的问题。
3. 分享与交流
什么是黑客?真正的黑客可能不是大多数人所理解的。黑客是英文Hacker一词的音译,狭义上是指专门研究和发现计算机和网络漏洞的计算机爱好者。根据黑客最初的定义,黑客对计算机有着浓厚的兴趣和不懈的追求,不断推动计算机和网络的发展和完善。显然,黑客和网络安全是齐头并进的。黑客心态是一种开放的心态。黑客攻击是在团队的基础上完成的。只有开放,参与者才能充分释放修复和转化的能量。互联网上最有价值的行为就是奉献。技术因奉献而进步,知识因分享而丰富。毫无疑问,“共享与交流”是互联网的基石。只有知识共享才能推动我们前进。参观社区,分享自学经历,对他人、对自己都有很大的好处。
网络安全学习资源分享:
我想分享一套完整的网络安全学习资料,对任何想学习网络安全的人都有用。
对于刚接触网络安全的学生,我们创建了详细的学习和成长路线图。这可以说是最科学、最系统的学习路线。每个人都可以遵循这个大方向。
由于篇幅有限,仅展示部分信息。如果您想要全套《网络安全入门+进阶学习资源包》,您必须点击下面的链接来获取。
**读者福利|** CSDN礼包:《网络安全入门进阶学习资源包》免费分享**(安全链接,放心点击)**
同时,还根据成长路线提供了每个部分的支持视频。
实战训练营
面试刷题
视频相关资料国内外网络安全相关书籍资料
当然,除了支持视频之外,还整理了各种文档和书籍。
所有信息总计282G。如果您想要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费获取。
**读者福利|** CSDN礼包:《网络安全入门进阶学习资源包》免费分享**(安全链接,放心点击)**
以上#黑客入门|网络安全问题相关内容仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93822.html
