网络安全基础-2

知识点

1.网站搭建前置知识

域名,子域名,DNS,HTTP/HTTPS,证书等

注册购买域名:阿里云企航_万网域名_商标注册_资质备案_软件著作权_网站建设-阿里云

2.web应用环境架构类

理解不同WEB应用组成角色功能架构:
开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等

开发语言:asp,php,aspx,jsp,java,python,ruby,go,html,javascript等程序源码:根据开发语言分类;应用类型分类;开源CMS分类;开发框架分类等

中间件容器:IIS,Apache,Nginx,Tomcat,weblogic,Jboos,glasshfish等数据库类型:Access,Mysql,Mysql,Oracle,db2,Sybase,Redis,MongoDB等

服务器操作系统:windows系列,Linux系列,Mac系列等

第三方软件:phpmyadmin,vs-ftpd,VNC,ELK,Openssh等

3.web应用安全漏洞分类

1. 注入漏洞
SQL注入:攻击者通过在输入字段中插入恶意的SQL代码,欺骗后端数据库执行非预期的SQL命令,从而可能获取数据库中的敏感信息或执行恶意操作。
命令注入:与SQL注入类似,但攻击者尝试在应用程序中注入操作系统命令,以执行未授权的操作。
2. 跨站脚本攻击(XSS)
攻击者将恶意脚本嵌入到Web页面中,当其他用户浏览该页面时,恶意脚本会在用户的浏览器中执行,窃取用户的cookie、会话令牌等敏感信息,或进行其他恶意操作。
3. 跨站请求伪造(CSRF)
攻击者诱使用户在已登录的Web应用程序上执行未授权的操作,如更改密码、转账等。这种攻击利用了Web的自动登录机制,使得攻击者能够伪装成受害者进行操作。
4. 服务器端请求伪造(SSRF)
攻击者通过应用程序服务器向外部网络发出请求,通常用于绕过防火墙和访问内部系统。这种攻击可能导致敏感信息泄露、端口扫描等危害。
5. 文件上传漏洞
攻击者通过Web应用程序上传恶意文件,如Web shell、病毒等,从而控制服务器或传播恶意软件。
6. 文件包含漏洞
攻击者通过包含外部文件的方式,执行恶意代码或访问敏感文件。这种漏洞通常由于文件包含路径未进行充分验证而引起。
7. 认证和授权漏洞
包括弱密码策略、密码泄露、身份识别错误等,这些漏洞可能导致未经授权的用户访问应用程序或敏感信息。
8. 安全配置错误
应用程序的配置不当,如默认设置不安全、权限设置错误等,可能导致敏感信息泄露或系统被攻陷。
9. 不安全的加密存储
应用程序未使用安全的加密算法或密钥管理策略,导致敏感信息(如密码、密钥等)在存储过程中被泄露。
10. SSL/TLS配置错误
SSL/TLS配置不当,如证书不受信任、协议版本过旧等,可能导致中间人攻击、数据泄露等安全威胁。
11. 点击劫持
攻击者通过技术手段欺骗用户的浏览器访问一个伪装的页面,诱导用户点击某些按钮或链接,从而执行恶意操作。
12. 拒绝服务攻击(DoS)
通过大量合法的或非法的请求使目标系统资源耗尽,导致系统无法正常处理合法请求。
防范措施

针对这些安全漏洞,可以采取以下防范措施:

对用户输入进行严格的验证和过滤,防止注入攻击和XSS攻击。
使用HTTPS协议保护数据传输过程中的安全。
实施严格的访问控制和权限管理策略,防止未授权访问和敏感信息泄露。
定期对系统进行安全审计和漏洞扫描,及时发现并修复安全漏洞。
加强用户教育,提高用户的安全意识,避免点击不明链接或下载恶意软件。

4.web请求返回过程数据包

Web请求返回过程数据包的详细解析:

一、DNS解析阶段

DNS请求数据包:

内容:当用户在浏览器中输入一个域名(如www.example.com)并尝试访问时,浏览器会首先向DNS服务器发送一个DNS查询请求。这个请求数据包中包含了用户想要解析的域名。
作用:请求DNS服务器将域名转换为对应的IP地址。

DNS响应数据包:

内容:DNS服务器在收到查询请求后,会返回一个包含域名对应IP地址的响应数据包。
作用:使浏览器能够知道应该向哪个IP地址发送HTTP请求。

二、TCP连接建立阶段

TCP SYN数据包(同步序列编号):

内容:在HTTP请求发送之前,客户端(通常是浏览器)会向服务器发送一个SYN数据包,以请求建立TCP连接。
作用:初始化TCP连接的建立过程。

TCP SYN-ACK数据包(同步序列编号-确认):

内容:服务器收到SYN数据包后,会回复一个SYN-ACK数据包,表示同意建立连接。
作用:确认客户端的SYN请求,并发送自己的初始序列号给客户端。

TCP ACK数据包(确认):

内容:客户端收到SYN-ACK数据包后,会回复一个ACK数据包,表示连接已建立。
作用:完成TCP连接的三次握手过程,确认双方都已准备好进行数据传输。

三、HTTP请求与响应阶段

HTTP请求数据包:

内容:一旦TCP连接建立,客户端会向服务器发送一个HTTP请求数据包。这个数据包包含了请求的方法(如GET、POST等)、请求的URL、HTTP版本以及请求头等信息。
作用:请求服务器返回指定的资源或执行特定的操作。

HTTP响应数据包:

内容:服务器在收到HTTP请求后,会处理该请求并返回一个HTTP响应数据包。这个数据包包含了状态码(如200 OK、404 Not Found等)、响应头以及响应体(即实际请求的资源内容)等信息。
作用:将请求的资源或操作结果返回给客户端。

四、TCP连接关闭阶段

TCP FIN数据包(结束):

内容:当数据传输完成后,一方(通常是客户端)会发送一个FIN数据包给对方,表示希望关闭TCP连接。
作用:发起TCP连接的关闭过程。

TCP ACK数据包(确认):

内容:收到FIN数据包的一方会回复一个ACK数据包,表示已确认收到关闭连接的请求。
作用:确认TCP连接的关闭过程。

 

HTTP请求头含义:HTTP 请求头各参数具体含义_yihe595.co-CSDN博客

状态码:

100: Continue 继续。客户端应继续其请求。

101: Switching Protocols 切换协议。服务器根据客户端的请求切换协议。只能切换到更高级的协议,例如,切换到HTTP的新版本协议
200:OK 请求成功。一般用于GET与POST请求
201:Created 已创建。成功请求并创建了新的资源
202:Accepted 已接受。已经接受请求,但未处理完成
203:Non-Authoritative Information 非授权信息。请求成功。但返回的meta信息不在原始的服务器,而是一个副本
204:No Content 无内容。服务器成功处理,但未返回内容。在未更新网页的情况下,可确保浏览器继续显示当前文档
205:Reset Content 重置内容。服务器处理成功,用户终端(例如:浏览器)应重置文档视图。可通过此返回码清除浏览器的表单域
206:Partial Content 部分内容。服务器成功处理了部分GET请求
300:Multiple Choices 多种选择。请求的资源可包括多个位置,相应可返回一个资源特征与地址的列表用于用户终端(例如:浏览器)选择
301:Moved Permanently 永久移动。请求的资源已被永久的移动到新URI,返回信息会包括新的URI,浏览器会自动定向到新URI。今后任何新的请求都应使用新的URI代替
302:Found 临时移动。与301类似。但资源只是临时被移动。客户端应继续使用原有URI
303:See Other 查看其它地址。与301类似。使用GET和POST请求查看
304:Not Modified 未修改。所请求的资源未修改,服务器返回此状态码时,不会返回任何资源。客户端通常会缓存访问过的资源,通过提供一个头信息指出客户端希望只返回在指定日期之后修改的资源
305:Use Proxy 使用代理。所请求的资源必须通过代理访问
306:Unused 已经被废弃的HTTP状态码
307: Temporary Redirect 临时重定向。与302类似。使用GET请求重定向
400:Bad Request 客户端请求的语法错误,服务器无法理解
401:Unauthorized 请求要求用户的身份认证
402:Payment Required 保留,将来使用
403:Forbidden 服务器理解请求客户端的请求,但是拒绝执行此请求
404:Not Found 服务器无法根据客户端的请求找到资源(网页)。通过此代码,网站设计人员可设置"您所请求的资源无法找到"的个性页面
405:Method Not Allowed 客户端请求中的方法被禁止
406:Not Acceptable 服务器无法根据客户端请求的内容特性完成请求
407:Proxy Authentication Required 请求要求代理的身份认证,与401类似,但请求者应当使用代理进行授权
408:Request Time-out 服务器等待客户端发送的请求时间过长,超时
409:Conflict 服务器完成客户端的PUT请求是可能返回此代码,服务器处理请求时发生了冲突
410:Gone 客户端请求的资源已经不存在。410不同于404,如果资源以前有现在被永久删除了可使用410代码,网站设计人员可通过301代码指定资源的新位置
411: Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息
412: Precondition Failed 客户端请求信息的先决条件错误
413: Request Entity Too Large 由于请求的实体过大,服务器无法处理,因此拒绝请求。为防止客户端的连续请求,服务器可能会关闭连接。如果只是服务器暂时无法处理,则会包含一个Retry-After的响应信息
414: Request-URI Too Large 请求的URI过长(URI通常为网址),服务器无法处理
415: Unsupported Media Type 服务器无法处理请求附带的媒体格式
416: Requested range not satisfiable 客户端请求的范围无效
417: Expectation Failed 服务器无法满足Expect的请求头信息
500: Internal Server Error 服务器内部错误,无法完成请求
501: Not Implemented 服务器不支持请求的功能,无法完成请求
502: Bad Gateway 作为网关或者代理工作的服务器尝试执行请求时,从远程服务器接收到了一个无效的响应
503: Service Unavailable 由于超载或系统维护,服务器暂时的无法处理客户端的请求。延时的长度可包含在服务器的Retry-After头信息中
504: Gateway Time-out 充当网关或代理的服务器,未及时从远端服务器获取请求
505: HTTP Version not supported 服务器不支持请求的HTTP协议的版本

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/867971.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

DHCP的原理及配置

目录 一、了解DHCP服务 1.什么是DHCP 1.1DHCP广播 2.使用DHCP的好处 2.1为什么使用DHCP 3.DHCP的模式与分配方式 3.1分配方式 3.2模式 二、DHCP工作原理 1.四次回话 2.重新登录 3.更新租约 4.扩展 三、安装DHCP服务 四、DHCP局部配置并且测试 五、使用…

7.Android逆向协议-抓取安卓http和https数据包(设备需要root权限)

免责声明:内容仅供学习参考,请合法利用知识,禁止进行违法犯罪活动! 内容参考于:微尘网校 上一个内容:6.Android逆向协议-配置FD抓包环境 工具下载: 链接:https://pan.baidu.com/s…

Nestjs基础

一、创建项目 1、创建 安装 Nest CLI(只需要安装一次) npm i -g nestjs/cli 进入要创建项目的目录,使用 Nest CLI 创建项目 nest new 项目名 运行项目 npm run start 开发环境下运行,自动刷新服务 npm run start:dev 2、…

GuitarPro2024音乐软件#创作神器#音乐梦想

嘿,亲爱的朋友们!👋👋👋今天我要给你们安利一款超赞的软件——Guitar Pro。这款软件简直是吉他手的福音啊!🎉🎉🎉 Guitar Pro免费绿色永久安装包下载:&#…

YOLOv8 | 代码逐行解析(五) | YOLOv8中损失函数计算的详解包含Cls和Bbox计算的解析,小白必看(下)

一、本文介绍 本文给大家带来的是YOLOv8中的损失函数计算的完整解析,内容包括v8DetectionLoss的解析,以及BboxLoss的解析,如果你相对损失函数的计算原理,本文内容绝对会对你有所帮助,全文内容包含1万两千字&#xff0…

(十) Docker compose 本地部署 apollo

文章目录 1、apollo2、数据库准备3、启动后会用到的几个地址4、docker-compose运行 apollo方式一:使用容器 hostName 作为网络媒介方式二:使用端口映射固定 ip 作为网络媒介 6、客户端 1、apollo https://www.apolloconfig.com/#/zh/deployment/quick-s…

使用策略模式加工厂模式实现数据上传时的不同云平台的处理

在处理不同云存储的 SDK 和接口调用时可以使用策略模式加工厂模式实现了灵活的云存储上传处理 策略模式:可以为每个云存储(如阿里云、腾讯云等)创建一个策略类,实现统一的接口,来封装不同的上传逻辑。工厂模式&#x…

【代码管理的必备工具:Git的基本概念与操作详解】

一、Git 初识 1.提出问题 不知道你工作或学习时,有没有遇到这样的情况:我们在编写各种⽂档时,为了防止⽂档丢失,更改失误,失误后能恢复到原来的版本,不得不复制出⼀个副本,比如: “…

敏感词匹配DFA算法

算法简介与场景介绍 DFA算法,中文全称为确定性有穷自动机。它的基本思想是构建一个有穷自动机,当用户输入文本时,通过自动机的状态转换来快速匹配敏感词。具体特征是,有一个有效状态的集合和一些从一个状态通向另一个状态的边&am…

VuePress 的更多配置

现在,读者应该对 VuePress、主题和插件等有了基本的认识,除了插件,VuePress 自身也有很多有用的配置,这里简单说明下。 ‍ ‍ VuePress 的介绍 在介绍了 VuePress 的基本使用、主题和插件的概念之后,我们再来看看官…

简介空间复杂度

我们承接上一篇博客。我们写了时间复杂度之后,我们就要来介绍一下另一个相关复杂度了。空间复杂度。我觉得大家应该对空间复杂度认识可能比较少一些。我就是这样,我很少看见题目中有明确要求过空间复杂度的。但确实有这个是我们不可忽视的,所…

PXIe-7976【K410T】

起售价 RMB 152,880.00 块RAM(BRAM): 28620 kbit 动态RAM(DRAM): 2 GB FPGA: Kintex-7 410T PXI背板链路: PCI-Express Gen2 x 8 FPGA片: 63550 DSP片: 1540

ChatGPT-4o大语言模型优化、本地私有化部署、从0-1搭建、智能体构建等高级进阶

目录 第一章 ChatGPT-4o使用进阶 第二章 大语言模型原理详解 第三章 大语言模型优化 第四章 开源大语言模型及本地部署 第五章 从0到1搭建第一个大语言模型 第六章 智能体(Agent)构建 第七章 大语言模型发展趋势 第八章 总结与答疑讨论 更多应用…

昇思25天学习打卡营第12天|FCN图像语义分割

文章目录 昇思MindSpore应用实践基于MindSpore的FCN图像语义分割1、FCN 图像分割简介2、构建 FCN 模型3、数据预处理4、模型训练自定义评价指标 Metrics 5、模型推理结果 Reference 昇思MindSpore应用实践 本系列文章主要用于记录昇思25天学习打卡营的学习心得。 基于MindSpo…

LaTeX教程(014)-LaTeX文档结构(14)

LaTeX教程(014)- LaTeX \LaTeX LATE​X文档结构(14) 2.3.3 multitoc - 将目录设置为多栏 multitoc包的使用方法相当简单,只需要调用这个包,并将要设置为多栏(默认是双栏)的目录指定到包选项中即可。如\usepackage[toc]{multitoc},设置的就是…

Springboot使用WebSocket发送消息

1. 创建springboot项目&#xff0c;引入spring-boot-starter-websocket依赖 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-websocket</artifactId></dependency>完整项目依赖 <?xml ver…

Vue 使用 @click 绑定点击事件

https://andi.cn/page/621505.html

Python【打包exe文件两步到位】

Python打包Exe 安装 pyinstaller&#xff08;pip install pyinstaller&#xff09; 执行打包命令&#xff08;pyinstaller demo.py&#xff09; 打完包会生成 dist 文件夹&#xff0c;如下如

基于开源AI数据框架LlamaIndex构建上下文增强型LLA应用

引言 “将你的企业数据转化为可用于实际生产环境的LLM应用程序&#xff0c;”LlamaIndex主页用60号字体这样高亮显示。其副标题是“LlamaIndex是构建LLM应用程序的领先数据框架。”我不太确定它是否是业内领先的数据框架&#xff0c;但我认为它是一个与LangChain和Semantic Ker…

快行线冷链——创新仓配、共赢未来 主题沙龙在京成功举办

2024年7月7日下午&#xff0c;由京营建联盟、北京市大兴区餐饮行业协会、北京快行线冷链物流联合主办的“创新仓配&#xff0c;共赢未来——相信拥抱的力量”主题沙龙活动在北京篝野城市露营空间隆重举行。本次活动定向邀请了餐饮老板、餐饮企业供应链负责人及冻品经销商和相关…