【网络安全】网站常见安全漏洞 - 网站基本组成及漏洞定义

文章目录

      • 引言
      • [1. 一个网站的基本构成](#1. 一个网站的基本构成)
      • [2. 一些我们经常听到的安全事件](#2. 一些我们经常听到的安全事件)
      • [3. 网站攻击者及其意图](#3. 网站攻击者及其意图)
        • [3.1 网站攻击者的类型](#3.1 网站攻击者的类型)
        • [3.2 攻击者的意图](#3.2 攻击者的意图)
      • [4. 漏洞的分类](#4. 漏洞的分类)
        • [4.1 按来源分类](#4.1 按来源分类)
        • [4.2 按危害分类](#4.2 按危害分类)
        • [4.3 常见漏洞与OWASP Top 10](#4.3 常见漏洞与OWASP Top 10)

引言

在当今的数字化时代,安全问题 已成为技术领域不可忽视的核心话题。作为开发人员,无论是构建日常应用还是面向高安全需求的业务场景 ,掌握基础的安全知识都是必不可少的。安全不仅仅是专门从事安全岗位人员的职责,也是开发工作中的关键一环 。尤其是在涉及金融、医疗、政府等敏感行业 时,了解并应用基本的安全规范 ,能够有效降低风险,保护数据和系统免受潜在威胁。于是乎,这个专题笔者就带大家了解下,网络安全的基础知识。

1. 一个网站的基本构成

  • 前端(Frontend)
    • 用户交互界面(HTML、CSS、JavaScript)
    • 常见的框架和库:React、Vue、jQuery
    • 静态资源(图像、视频、字体等)
  • 后端(Backend)
    • 服务器逻辑(处理请求、生成响应)
    • 开发语言:Java、Python、PHP、Node.js 等
    • 数据存储与操作:数据库(MySQL、MongoDB 等)
  • 通信(Networking)
    • 协议:HTTP/HTTPS
    • Web API(RESTful、GraphQL)
  • 基础设施(Infrastructure)
    • 服务器和操作系统(Linux、Windows)
    • 部署平台和云服务(AWS、Azure、阿里云等)

2. 一些我们经常听到的安全事件

  • 著名的漏洞案例
    • Heartbleed(心脏出血漏洞):导致敏感信息泄露的OpenSSL漏洞。
    • Equifax 数据泄露事件:因未及时修补Struts框架漏洞,导致1.4亿条个人数据被窃取。
    • Log4Shell 漏洞:Log4j日志库的远程代码执行漏洞,影响全球大量服务。
  • 常见攻击类型的影响
    • 数据泄露:攻击者窃取用户数据(如用户名、密码、信用卡信息)。
    • 网站瘫痪:DDoS(分布式拒绝服务)攻击导致服务不可用。
    • 恶意篡改:网页被挂马或被非法更改内容。

3. 网站攻击者及其意图

3.1 网站攻击者的类型
  • 黑客(Hackers)
    • 白帽黑客:帮助企业查找和修复漏洞,合法渗透测试。
    • 黑帽黑客:恶意攻击者,目的是窃取数据或破坏系统。
    • 灰帽黑客:介于合法与非法之间的行为,有时未经授权进行漏洞扫描。
  • 脚本小子(Script Kiddies)
    • 缺乏专业技能,使用现成的工具或脚本攻击网站。
  • APT 组织(Advanced Persistent Threats)
    • 高技术的攻击组织,通常有明确的经济或政治目标。
  • 内部人员(Insiders)
    • 拥有系统权限,可能因利益或矛盾而进行恶意操作。
3.2 攻击者的意图
  • 经济利益
    • 窃取信用卡信息进行交易。
    • 勒索软件攻击,要求支付比特币。
  • 政治动机
    • 涉及政府或机构的网站被攻击,传播意识形态或信息。
  • 恶作剧
    • 对知名网站进行涂鸦或修改,炫耀技能。
  • 情报收集
    • 通过漏洞获取敏感数据,如商业机密或国家安全信息。

4. 漏洞的分类

4.1 按来源分类
  • 设计缺陷
    • 逻辑漏洞:例如,电子商务网站的优惠券机制被滥用。
    • 协议漏洞:例如,HTTP协议的设计缺陷易受中间人攻击。
  • 实现问题
    • 编码漏洞:如输入验证不当导致SQL注入。
    • 配置错误:如默认密码未修改或开放了不必要的端口。
  • 第三方问题
    • 使用漏洞百出的第三方库或插件。
4.2 按危害分类
  • 信息泄露漏洞
    • 未加密的敏感数据。
    • 错误的访问权限配置。
  • 身份验证漏洞
    • 弱密码或未启用多因素认证。
    • Session劫持。
  • 远程代码执行漏洞
    • 攻击者可在服务器上运行恶意代码。
  • 拒绝服务漏洞
    • 导致服务器过载或资源耗尽。
4.3 常见漏洞与OWASP Top 10
  • 注入攻击(Injection)
    • SQL注入、命令注入等。
  • 跨站脚本(XSS)
    • 在页面中插入恶意脚本。
  • 跨站请求伪造(CSRF)
    • 利用用户的认证状态发送恶意请求。
  • 失效的访问控制
    • 允许未授权用户访问敏感功能。

后续还会更新2篇文章,分别是关于前端后端 的常见漏洞类型

博客主页: 总是学不会.

相关推荐
狂炫冰美式6 分钟前
人均配了AI, 为什么公司还是没变快? 🤔 本质还是分布式系统问题
前端·后端·架构
她的男孩2 小时前
Spring Boot 接 Flowable 工作流:用 3 个注解搭一个请假审批流程
java·后端·架构
爱读源码的大都督2 小时前
Claude Code源码分析(三):为什么系统提示词中需要有tools呢?
前端·人工智能·后端
爱勇宝2 小时前
Claude Code 被曝暗藏“隐形检测”代码:封代理不是最可怕的,可怕的是你根本不知道它在干什么
前端·后端·程序员
ITOM运维行者3 小时前
从零搭建企业级服务器监控体系:踩坑实录与架构设计
前端·后端
用户4099322502123 小时前
Vue状态管理入门第四章:组合式store和SSR风险
前端·vue.js·后端
用户34232323763173 小时前
SPI 通信与高速外设驱动详解
后端
魏祖潇3 小时前
SDD 完整指南——Spec 端打底、Story 端交付、留白区
人工智能·后端
feelmylife594 小时前
消息队列可靠投递与幂等消费 -- 从"消息丢了"到"消息别重复"的完整工程实践
后端
雪隐4 小时前
个人电脑玩AI-10让5060 Ti给你打工——部署 Odysseus:终于有个能打的"AI管家"了
人工智能·后端