admin管理员组文章数量:1605789
**XSS原理:**攻击者在网页中嵌入客户端脚本(通常是JavaScript的恶意脚本),当用户使用浏览器加载被嵌入恶意代码的网页时,恶意脚本代码就会在用户的浏览器执行,造成跨站脚本的攻击
危害
- 盗取Cookie
- 网络钓鱼
- 植马挖矿
- 刷流量
- 劫持后台
- 篡改页面
- 内网扫描
- 制造蠕虫等
防御
- 对用户的输入进行合理验证
- 对特殊字符(如 <、>、 ’ 、 ”等)以及
五、CSRF(跨站请求伪造 )
原理
CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造 原理:攻击者利用目标用户的身份,执行某些非法的操作 跨站点的请求:请求的来源可以是非本站 请求是伪造的:请求的发出不是用户的本意。
危害
- 篡改目标站点上的用户数据
- 盗取用户隐私数据
- 作为其他攻击的辅助攻击手法
- 传播 CSRF 蠕虫
防御
- 检查HTTP Referer是否是同域
- 限制Session Cookie的生命周期,减少被攻击的概率
- 使用验证码
- 使用一次性token
六、SSRF(服务器端请求伪造)
原理
SSRF(Server-Side Request Forgery):服务器端请求伪造,该漏洞通常由攻击者构造的请求传递给服务端,服务器端对传回的请求未作特殊处理直接执行而造成的。
危害
- 扫描内网(主机、端口)
- 向内部任意主机的任意端口发送精心构造的payload
- 攻击内网的Web应用
- 读取任意文件
- 拒绝服务攻击
防御
- 统一错误信息,避免用户根据错误信息来判断远程服务器的端口状态
- 限制请求的端口为http的常用端口,比如:80、443、8080等
- 禁用不需要的协议,仅允许http和https
- 根据请求需求,可以将特定域名加入白名单,拒绝白名单之外的请求
- 后台代码对请求来源进行验证
七、XXE(XML外部实体注入)
原理
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入。
XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞。
危害
- 任意文件读取
- 内网端口探测
- 拒绝服务攻击
- 钓鱼
防御
1、使用开发语言提供的禁用外部实体的方法
- PHP:
libxml_disable_entity_loader(true);
- java
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);
- Python:
from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
2、过滤用户提交的XML数据
过滤关键词:<!DOCTYPE、<!ENTITY SYSTEM、PUBLIC
RCE
RCE(Remot Command/Code Execute),远程命令/代码执行
远程命令执行:用户可以控制系统命令执行函数的参数,也称命令注入
远程代码执行:用户输入的参数可以作为代码执行,也称代码注入
命令执行可以看作是一种特殊的代码执行,代码执行相对会更加灵活
八、远程代码执行漏洞
原理
应用程序中有时会调用一些系统命令函数,比如php中使用system、exec、shell_exec等 函数可以执行系统命令,当攻击者可以控制这些函数中的参数时,就可以将恶意命令拼接 到正常命令中,从而造成命令执行攻击。
命令执行漏洞,属于高危漏洞之一,也可以算是一种特殊的代码执行
原因
- 用户可以控制输入的内容
- 用户输入的内容被当作命令执行
防御方式
尽量不要使用命令执行函数
客户端提交的变量在进入执行命令函数方法之前,一定要做好过 滤,对敏感字符进行转义
在使用动态函数之前,确保使用的函数是指定的函数之一
对PHP语言来说,不能完全控制的危险函数最好不要使用
九、反序列化漏洞
原理
原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列安全问题。
危害
- 不安全的反序列化,主要造成的危害是远程代码执行
- 如果无法远程代码执行,也可能导致权限提升、任意文件读取、拒绝服务攻击等
防御方式
- 应该尽量避免用户输入反序列化的参数
- 如果确实需要对不受信任的数据源进行反序列化,需要确保数据未被篡改,比如使用数字签名来检查数据的完整性
- 严格控制反序列化相关函数的参数,坚持用户所输入的信息都是不可靠的原则
- 对于反序列化后的变量内容进行检查,以确定内容没有被污染
- 做好代码审计相关工作,提高开发人员的安全意识
最后
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以********************************************************************************************************************************点击免费领取********************************************************************************************************************************(如遇扫码问题,可以在评论区留言领取哦)~
黑客/网安大礼包:《黑客&网络安全入门&进阶学习资源包》分享黑客/网安大礼包:《黑客\x26amp;网络安全入门\x26amp;进阶学习资源包》分享https://mp.weixin.qq/s/d7HXOI0mB_SfsjzXCGnyjQ
网络安全源码合集+工具包
网络安全面试题
最后就是大家最关心的网络安全面试题板块
所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以********************************************************************************************************************************点击免费领取********************************************************************************************************************************(如遇扫码问题,可以在评论区留言领取哦)~
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化资料的朋友,可以点击这里获取
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
g#pic_center)
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化资料的朋友,可以点击这里获取
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
版权声明:本文标题:2024年网络安全最全网络安全常见十大漏洞总结(原理、危害、防御)(1) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1728491372a1160447.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论