网站安全(学习)
记录
一、安全基础知识
1.1、安全
- 网站安全的重要性
- 基本的安全属性
- 网站入侵的攻击方法和原理
- Web安全的防御思路
1.2、网站安全的主要应用场合
- 电子商务
- 电子政务
- 票务系统
- 公司内部系统
1.3、几种常见的安全问题
- 拒绝服务(Dos-Denial of service) 现象:大规模无效访问,造成网络堵塞,用户无法访问
- 非法登录 现象:获得网站用户的密码,在网站上随意更改内容
- 数据库级别 现象:任意改变数据库数据,出售数据库数据
- 获得网站管理员权限 现象:网站管理混乱,无基本防护
1.4、安全的基本属性
- 机密性
- 完整性
- 可用性
- 可靠性
- 不可否认性
二、网站入侵的常用攻击方法和原理
2.1、暴力破解
攻击原理
攻击内容:各种登录密码。
利用工具反复性的试探攻击。
缩小海量级试探次数方法:字典档,规则破解
攻击方法:远程破解和本地文件破解
2.2 、SQL注入:
攻击原理:
在Web表单或者查询字符串中输入特殊的SQL命令
实现欺骗服务器或者绕过登录验证
2.3 、上传漏洞
利用上传漏洞直接重到WEBSHELL
网站服务的安全漏洞:
- 字符过滤不严格
- 文件类型未检测
- 上传未加权取
2.4 、XSS跨站攻击
XSS-Cross Site Scripting
攻击原理:
- 恶意用户在网页中插入HTML或者JS脚本
- 引诱用户击点击或者输入用户隐私数据
- 黑客获取用户账号,Cookies等隐私数据
常见攻击方式:
- js方式
- iframe方式
- Ajax方式
常见攻击方式:
- 钓鱼邮件
- 图片链接
2.5 、Cookies诈骗
原理:
- Cookie是存放在客户端的用户数据
- 黑客可以通过修改本地Cookie来冒充管理员或者用户
Cookie查看工具:桂林老兵等
2.6 、Dos攻击
三、Web安全防御思路
【推荐】还在用 ECharts 开发大屏?试试这款永久免费的开源 BI 工具!
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· .NET制作智能桌面机器人:结合BotSharp智能体框架开发语音交互
· 软件产品开发中常见的10个问题及处理方法
· .NET 原生驾驭 AI 新基建实战系列:向量数据库的应用与畅想
· 从问题排查到源码分析:ActiveMQ消费端频繁日志刷屏的秘密
· 一次Java后端服务间歇性响应慢的问题排查记录
· 互联网不景气了那就玩玩嵌入式吧,用纯.NET开发并制作一个智能桌面机器人(四):结合BotSharp
· 一个基于 .NET 开源免费的异地组网和内网穿透工具
· 《HelloGitHub》第 108 期
· Windows桌面应用自动更新解决方案SharpUpdater5发布
· 我的家庭实验室服务器集群硬件清单