什么是什么Web安全?怎样才能入门?学习过程中需要注意哪些问题?...也许你心里有这样的问题,但别担心,本文将逐一回答这些问题。
1 定义
Web顾名思义,安全就是保证Web由应用程序可持续安全运行衍生的分支领域。
Web该应用程序是指从网站的前端页面到后端服务,可以大致理解为网站及其相关服务。该领域的常见漏洞SQL注入漏洞、XSS漏洞、CSRF漏洞等。漏洞多样有趣,更适合新手入门。
以下是一些常见的网络安全漏洞。以下解释主要从原则的角度出发,旨在帮助新手朋友更好地理解相关漏洞,不讨论具体的技术细节。
2 常见漏洞
SQL注入
网站,即Web应用程序通常涉及数据查询和修改,需要数据操作SQL语言(结构化查询语言(简称)SQL)是一种特殊的编程语言)。
当网站使用时,当网站使用时SQL查询数据时,用户输入信息或提交的参数(例如,您使用百度时输入的信息“关键词”,登录某些网站时提交的账号密码等。SQL数据查询的过程中,一旦用户提交有害数据,可能会对网站运营造成危害。
有害数据“注入”到SQL在查询过程中,这也是如此“SQL注入”命名的原因。
SQL注入漏洞通常会导致数据泄露,例如“社工银行”、“人rou”世界上数十亿密码的搜索和泄露或多或少都有SQL注射的影子。
3 SQL注入被定义为:
当Web应用程序将SQL当句子传输到后台数据库进行数据库操作时。如果用户输入的参数没有严格过滤,攻击者可以构建特殊的参数SQL语句,直接输入数据库执行,获取或修改数据库中的数据。
XSS跨站脚本攻击(XSS)
也是因为网站没有严格过滤用户输入的内容,用户浏览器执行了一些恶意脚本代码,造成了XSS漏洞。
基于一个网站的展示HTML、CSS、JS等待脚本语言。浏览器的功能是什么?简单来说,就是把只有电脑才能做到。“读懂”脚本语言和代码渲染成我们看到的图像和文本。
以百度为例。
当我们使用网站务器通信时,我们实际上收到了使用HTML等语言编写的源代码,浏览器会对源代码进行“翻译”。
(浏览器将下面的源代码“翻译”成“百度搜索”页面)
如果能利用网站的一些缺陷,构建自己的恶意脚本代码''注入网站的源代码。当其他用户浏览网页时,浏览器将构建我们构建的恶意代码“翻译”,造成危害(Cookie泄露、键盘记录等。),这将形成XSS的脆弱性。
5 CSRF伪造跨站请求(伪造跨站请求)
这个漏洞通常不会直接攻击网站服务器,而是伪装成用户在站内的正常操作,以达到攻击的目的。当我们与网站互动时,大多数操作都是基于浏览器和网站服务器之间的通信请求。例如,我们将在一些购物网站上下订单,转移给指定用户,或查询我们的测试结果。
如果用户不知道,可以通过浏览器“悄悄”伪造一些请求操作,然后产生有害的攻击行为,然后形成一个CSRF漏洞。
如上所述,XSS在用户不知情的情况下,漏洞可以恶意操作。假如我们在XSS包含伪造在攻击代码中的具体请求是什么?CSRF脆弱性不谋而合。XSS和CSRF经常和大国一起使用。
为防止CSRF漏洞,你需要添加令牌或引用来防止它们。云影安全稍后将进一步解释。