2024年网络安全最全网络安全常见十大漏洞总结（原理、危害、防御）(1)

admin管理员组

文章数量:1605789

**XSS原理：**攻击者在网页中嵌入客户端脚本（通常是JavaScript的恶意脚本），当用户使用浏览器加载被嵌入恶意代码的网页时，恶意脚本代码就会在用户的浏览器执行，造成跨站脚本的攻击

危害

• 盗取Cookie
• 网络钓鱼
• 植马挖矿
• 刷流量
• 劫持后台
• 篡改页面
• 内网扫描
• 制造蠕虫等

防御

• 对用户的输入进行合理验证
• 对特殊字符（如 <、>、 ’ 、 ”等）以及

五、CSRF（跨站请求伪造 ）

原理

CSRF（Cross-Site Request Forgery），中文名称：跨站请求伪造 原理：攻击者利用目标用户的身份，执行某些非法的操作 跨站点的请求：请求的来源可以是非本站 请求是伪造的：请求的发出不是用户的本意。

危害

• 篡改目标站点上的用户数据
• 盗取用户隐私数据
• 作为其他攻击的辅助攻击手法
• 传播 CSRF 蠕虫

防御

• 检查HTTP Referer是否是同域
• 限制Session Cookie的生命周期，减少被攻击的概率
• 使用验证码
• 使用一次性token

六、SSRF（服务器端请求伪造）

原理

SSRF(Server-Side Request Forgery）：服务器端请求伪造，该漏洞通常由攻击者构造的请求传递给服务端，服务器端对传回的请求未作特殊处理直接执行而造成的。

危害

• 扫描内网（主机、端口）
• 向内部任意主机的任意端口发送精心构造的payload
• 攻击内网的Web应用
• 读取任意文件
• 拒绝服务攻击

防御

• 统一错误信息，避免用户根据错误信息来判断远程服务器的端口状态
• 限制请求的端口为http的常用端口，比如：80、443、8080等
• 禁用不需要的协议，仅允许http和https
• 根据请求需求，可以将特定域名加入白名单，拒绝白名单之外的请求
• 后台代码对请求来源进行验证

七、XXE（XML外部实体注入）

原理

XXE漏洞全称为 XML External Entity Injection，即XML外部实体注入。

XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载， 导致用户可以控制外部的加载文件，造成XXE漏洞。

危害

• 任意文件读取
• 内网端口探测
• 拒绝服务攻击
• 钓鱼

防御

1、使用开发语言提供的禁用外部实体的方法

• PHP：

libxml_disable_entity_loader(true);

• java

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);

• Python：

from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2、过滤用户提交的XML数据

过滤关键词：<!DOCTYPE、<!ENTITY SYSTEM、PUBLIC

RCE

RCE（Remot Command/Code Execute），远程命令/代码执行

远程命令执行：用户可以控制系统命令执行函数的参数，也称命令注入

远程代码执行：用户输入的参数可以作为代码执行，也称代码注入

命令执行可以看作是一种特殊的代码执行，代码执行相对会更加灵活

八、远程代码执行漏洞

原理

应用程序中有时会调用一些系统命令函数，比如php中使用system、exec、shell_exec等 函数可以执行系统命令，当攻击者可以控制这些函数中的参数时，就可以将恶意命令拼接 到正常命令中，从而造成命令执行攻击。

命令执行漏洞，属于高危漏洞之一，也可以算是一种特殊的代码执行

原因

• 用户可以控制输入的内容
• 用户输入的内容被当作命令执行

防御方式

尽量不要使用命令执行函数

客户端提交的变量在进入执行命令函数方法之前，一定要做好过 滤，对敏感字符进行转义

在使用动态函数之前，确保使用的函数是指定的函数之一

对PHP语言来说，不能完全控制的危险函数最好不要使用

九、反序列化漏洞

原理

原因是程序没有对用户输入的反序列化字符串进行检测，导致反序列化过程可以被恶意控制，进而造成代码执行、getshell等一系列安全问题。

危害

• 不安全的反序列化，主要造成的危害是远程代码执行
• 如果无法远程代码执行，也可能导致权限提升、任意文件读取、拒绝服务攻击等

防御方式

• 应该尽量避免用户输入反序列化的参数
• 如果确实需要对不受信任的数据源进行反序列化，需要确保数据未被篡改，比如使用数字签名来检查数据的完整性
• 严格控制反序列化相关函数的参数，坚持用户所输入的信息都是不可靠的原则
• 对于反序列化后的变量内容进行检查，以确定内容没有被污染
• 做好代码审计相关工作，提高开发人员的安全意识

最后

为了帮助大家更好的学习网络安全，小编给大家准备了一份网络安全入门/进阶学习资料，里面的内容都是适合零基础小白的笔记和资料，不懂编程也能听懂、看懂，所有资料共282G，朋友们如果有需要全套网络安全入门+进阶学习资源包，可以********************************************************************************************************************************点击免费领取********************************************************************************************************************************（如遇扫码问题，可以在评论区留言领取哦）~

黑客/网安大礼包：《黑客&网络安全入门&进阶学习资源包》分享黑客/网安大礼包：《黑客\x26amp;网络安全入门\x26amp;进阶学习资源包》分享https://mp.weixin.qq/s/d7HXOI0mB_SfsjzXCGnyjQ

网络安全源码合集+工具包

网络安全面试题

最后就是大家最关心的网络安全面试题板块

所有资料共282G，朋友们如果有需要全套网络安全入门+进阶学习资源包，可以********************************************************************************************************************************点击免费领取********************************************************************************************************************************（如遇扫码问题，可以在评论区留言领取哦）~

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

g#pic_center)

因篇幅有限，仅展示部分资料

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

本文标签： 网络安全十大最全漏洞原理