关于黑客文化与网络安全的问题(黑客零基础入
时间:2022-12-07 11:01 来源:网络整理 作者:采集插件 点击:次
【学习资料】 导语什么是Web安全?我又该如何入门学习它呢?学习过程中又应注意哪些问题呢?...或许你的心中有着这样的疑问、不过别着急,本文会为你一一解答这些问题。 正文定义 Web安全,顾名思义便是由保障Web应用能够持续安全运行而衍生出的一个分支领域。 Web应用指的是一个网站的前端页面到后端服务,可以粗略的理解为一个网站及其配套的相关服务,该领域中常见的漏洞有SQL注入漏洞,XSS漏洞,CSRF漏洞等等,漏洞种类多样,趣味性强,较为适合新手入门。 下面为你介绍Web安全方面的常见漏洞,以下讲解主要从原理角度出发,旨在帮助新手朋友更好的理解相关漏洞,具体技术细节暂不讨论。 常见漏洞SQL注入(SQL Injection)
网站,也就是web应用中往往会涉及到数据的查询与修改,对数据进行操作则需要用到SQL语言(结构化查询语言(Structured Query Language)简称SQL,是一种特殊目的的编程语言)。 网站在使用SQL查询数据时,用户输入的信息或提交的参数(比如你在使用百度时输入的“关键词”,登录某些网站时提交的账户密码..)将会参与到SQL数据查询的过程中,一旦用户提交了有害数据,便有可能对网站运行产生危害。 将有害数据“注入”到SQL查询过程之中,这也正是“SQL注入”得名的缘由。 SQL注入漏洞往往会导致数据泄露,例如前些年爆出的沸沸扬扬的”社工库",”人rou"搜索,全球数十亿密码泄露等事件,他们的背后或多或少有着SQL注入的影子。 SQL注入的定义为: 当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库进行执行,获取或修改数据库中的数据。 XSS跨站脚本攻击(Cross-Site Scripting,XSS)
同样是由于网站对于用户的输入内容没有进行严格的过滤处理,一些恶意的脚本代码被用户的浏览器执行而引发了XSS漏洞。 一个网站的呈现是基于HTML,CSS,JS等脚本语言的,浏览器的作用是什么?简单来说便是将只有计算机才能“读懂”的脚本语言及代码渲染成我们所看到的的图像与文字。 这里以百度为例。 在与架设着网站的服务器通信时,我们实际上收到的是使用HTML等语言编写的源代码,浏览器会将该源代码“翻译”出来。
(浏览器将下方的源代码“翻译”成“百度搜索”的页面) 如果我们能利用网站的某些缺陷,将自行构造的恶意脚本代码‘’注入”到网站源代码之中,在别的用户在浏览网页时,我们构造的恶意代码便会被浏览器“翻译”出来,造成危害(Cookie泄露,键盘记录等),这便形成了XSS漏洞。 CSRF跨站请求伪造(Cross Site Request Forgery)
该漏洞往往不直接攻击网站服务器,而是冒充用户在站内的正常操作以达到攻击目的。我们在与网站进行交互操作时,绝大多数操作是基于浏览器与网站服务器的通信请求的,比如我们会在某些购物网站下商品订单,给指定用户转账,或者查询自己的考试成绩。 如果能够在用户没有察觉的情况下,“悄无声息”通过浏览器伪造一些请求操作,进而产生对用户有害的攻击行为,那么便形成了CSRF漏洞。 上文提到过,XSS漏洞可以在用户不知情的情况下执行恶意操作,如果我们在XSS攻击代码中包含伪造好的特定请求呢?这便与CSRF漏洞不谋而合。所以,XSS与CSRF常相配合使用,威力巨大。 防范CSRF漏洞,需要添加 token 或 referer 来防御,云影安全后续会对此进一步讲解。 DDOS 分布式拒绝攻击(Distributed Denial of Service) (责任编辑:admin) |
