网络安全基础-2

知识点

1.网站搭建前置知识

域名,子域名,DNS,HTTP/HTTPS,证书等

注册购买域名:阿里云企航_万网域名_商标注册_资质备案_软件著作权_网站建设-阿里云

2.web应用环境架构类

理解不同WEB应用组成角色功能架构:
开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等

开发语言:asp,php,aspx,jsp,java,python,ruby,go,html,javascript等程序源码:根据开发语言分类;应用类型分类;开源CMS分类;开发框架分类等

中间件容器:IIS,Apache,Nginx,Tomcat,weblogic,Jboos,glasshfish等数据库类型:Access,Mysql,Mysql,Oracle,db2,Sybase,Redis,MongoDB等

服务器操作系统:windows系列,Linux系列,Mac系列等

第三方软件:phpmyadmin,vs-ftpd,VNC,ELK,Openssh等

3.web应用安全漏洞分类

1. 注入漏洞
SQL注入:攻击者通过在输入字段中插入恶意的SQL代码,欺骗后端数据库执行非预期的SQL命令,从而可能获取数据库中的敏感信息或执行恶意操作。
命令注入:与SQL注入类似,但攻击者尝试在应用程序中注入操作系统命令,以执行未授权的操作。
2. 跨站脚本攻击(XSS)
攻击者将恶意脚本嵌入到Web页面中,当其他用户浏览该页面时,恶意脚本会在用户的浏览器中执行,窃取用户的cookie、会话令牌等敏感信息,或进行其他恶意操作。
3. 跨站请求伪造(CSRF)
攻击者诱使用户在已登录的Web应用程序上执行未授权的操作,如更改密码、转账等。这种攻击利用了Web的自动登录机制,使得攻击者能够伪装成受害者进行操作。
4. 服务器端请求伪造(SSRF)
攻击者通过应用程序服务器向外部网络发出请求,通常用于绕过防火墙和访问内部系统。这种攻击可能导致敏感信息泄露、端口扫描等危害。
5. 文件上传漏洞
攻击者通过Web应用程序上传恶意文件,如Web shell、病毒等,从而控制服务器或传播恶意软件。
6. 文件包含漏洞
攻击者通过包含外部文件的方式,执行恶意代码或访问敏感文件。这种漏洞通常由于文件包含路径未进行充分验证而引起。
7. 认证和授权漏洞
包括弱密码策略、密码泄露、身份识别错误等,这些漏洞可能导致未经授权的用户访问应用程序或敏感信息。
8. 安全配置错误
应用程序的配置不当,如默认设置不安全、权限设置错误等,可能导致敏感信息泄露或系统被攻陷。
9. 不安全的加密存储
应用程序未使用安全的加密算法或密钥管理策略,导致敏感信息(如密码、密钥等)在存储过程中被泄露。
10. SSL/TLS配置错误
SSL/TLS配置不当,如证书不受信任、协议版本过旧等,可能导致中间人攻击、数据泄露等安全威胁。
11. 点击劫持
攻击者通过技术手段欺骗用户的浏览器访问一个伪装的页面,诱导用户点击某些按钮或链接,从而执行恶意操作。
12. 拒绝服务攻击(DoS)
通过大量合法的或非法的请求使目标系统资源耗尽,导致系统无法正常处理合法请求。
防范措施

针对这些安全漏洞,可以采取以下防范措施:

对用户输入进行严格的验证和过滤,防止注入攻击和XSS攻击。
使用HTTPS协议保护数据传输过程中的安全。
实施严格的访问控制和权限管理策略,防止未授权访问和敏感信息泄露。
定期对系统进行安全审计和漏洞扫描,及时发现并修复安全漏洞。
加强用户教育,提高用户的安全意识,避免点击不明链接或下载恶意软件。

4.web请求返回过程数据包

Web请求返回过程数据包的详细解析:

一、DNS解析阶段

DNS请求数据包:

内容:当用户在浏览器中输入一个域名(如www.example.com)并尝试访问时,浏览器会首先向DNS服务器发送一个DNS查询请求。这个请求数据包中包含了用户想要解析的域名。
作用:请求DNS服务器将域名转换为对应的IP地址。

DNS响应数据包:

内容:DNS服务器在收到查询请求后,会返回一个包含域名对应IP地址的响应数据包。
作用:使浏览器能够知道应该向哪个IP地址发送HTTP请求。

二、TCP连接建立阶段

TCP SYN数据包(同步序列编号):

内容:在HTTP请求发送之前,客户端(通常是浏览器)会向服务器发送一个SYN数据包,以请求建立TCP连接。
作用:初始化TCP连接的建立过程。

TCP SYN-ACK数据包(同步序列编号-确认):

内容:服务器收到SYN数据包后,会回复一个SYN-ACK数据包,表示同意建立连接。
作用:确认客户端的SYN请求,并发送自己的初始序列号给客户端。

TCP ACK数据包(确认):

内容:客户端收到SYN-ACK数据包后,会回复一个ACK数据包,表示连接已建立。
作用:完成TCP连接的三次握手过程,确认双方都已准备好进行数据传输。

三、HTTP请求与响应阶段

HTTP请求数据包:

内容:一旦TCP连接建立,客户端会向服务器发送一个HTTP请求数据包。这个数据包包含了请求的方法(如GET、POST等)、请求的URL、HTTP版本以及请求头等信息。
作用:请求服务器返回指定的资源或执行特定的操作。

HTTP响应数据包:

内容:服务器在收到HTTP请求后,会处理该请求并返回一个HTTP响应数据包。这个数据包包含了状态码(如200 OK、404 Not Found等)、响应头以及响应体(即实际请求的资源内容)等信息。
作用:将请求的资源或操作结果返回给客户端。

四、TCP连接关闭阶段

TCP FIN数据包(结束):

内容:当数据传输完成后,一方(通常是客户端)会发送一个FIN数据包给对方,表示希望关闭TCP连接。
作用:发起TCP连接的关闭过程。

TCP ACK数据包(确认):

内容:收到FIN数据包的一方会回复一个ACK数据包,表示已确认收到关闭连接的请求。
作用:确认TCP连接的关闭过程。

 

HTTP请求头含义:HTTP 请求头各参数具体含义_yihe595.co-CSDN博客

状态码:

100: Continue 继续。客户端应继续其请求。

101: Switching Protocols 切换协议。服务器根据客户端的请求切换协议。只能切换到更高级的协议,例如,切换到HTTP的新版本协议
200:OK 请求成功。一般用于GET与POST请求
201:Created 已创建。成功请求并创建了新的资源
202:Accepted 已接受。已经接受请求,但未处理完成
203:Non-Authoritative Information 非授权信息。请求成功。但返回的meta信息不在原始的服务器,而是一个副本
204:No Content 无内容。服务器成功处理,但未返回内容。在未更新网页的情况下,可确保浏览器继续显示当前文档
205:Reset Content 重置内容。服务器处理成功,用户终端(例如:浏览器)应重置文档视图。可通过此返回码清除浏览器的表单域
206:Partial Content 部分内容。服务器成功处理了部分GET请求
300:Multiple Choices 多种选择。请求的资源可包括多个位置,相应可返回一个资源特征与地址的列表用于用户终端(例如:浏览器)选择
301:Moved Permanently 永久移动。请求的资源已被永久的移动到新URI,返回信息会包括新的URI,浏览器会自动定向到新URI。今后任何新的请求都应使用新的URI代替
302:Found 临时移动。与301类似。但资源只是临时被移动。客户端应继续使用原有URI
303:See Other 查看其它地址。与301类似。使用GET和POST请求查看
304:Not Modified 未修改。所请求的资源未修改,服务器返回此状态码时,不会返回任何资源。客户端通常会缓存访问过的资源,通过提供一个头信息指出客户端希望只返回在指定日期之后修改的资源
305:Use Proxy 使用代理。所请求的资源必须通过代理访问
306:Unused 已经被废弃的HTTP状态码
307: Temporary Redirect 临时重定向。与302类似。使用GET请求重定向
400:Bad Request 客户端请求的语法错误,服务器无法理解
401:Unauthorized 请求要求用户的身份认证
402:Payment Required 保留,将来使用
403:Forbidden 服务器理解请求客户端的请求,但是拒绝执行此请求
404:Not Found 服务器无法根据客户端的请求找到资源(网页)。通过此代码,网站设计人员可设置"您所请求的资源无法找到"的个性页面
405:Method Not Allowed 客户端请求中的方法被禁止
406:Not Acceptable 服务器无法根据客户端请求的内容特性完成请求
407:Proxy Authentication Required 请求要求代理的身份认证,与401类似,但请求者应当使用代理进行授权
408:Request Time-out 服务器等待客户端发送的请求时间过长,超时
409:Conflict 服务器完成客户端的PUT请求是可能返回此代码,服务器处理请求时发生了冲突
410:Gone 客户端请求的资源已经不存在。410不同于404,如果资源以前有现在被永久删除了可使用410代码,网站设计人员可通过301代码指定资源的新位置
411: Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息
412: Precondition Failed 客户端请求信息的先决条件错误
413: Request Entity Too Large 由于请求的实体过大,服务器无法处理,因此拒绝请求。为防止客户端的连续请求,服务器可能会关闭连接。如果只是服务器暂时无法处理,则会包含一个Retry-After的响应信息
414: Request-URI Too Large 请求的URI过长(URI通常为网址),服务器无法处理
415: Unsupported Media Type 服务器无法处理请求附带的媒体格式
416: Requested range not satisfiable 客户端请求的范围无效
417: Expectation Failed 服务器无法满足Expect的请求头信息
500: Internal Server Error 服务器内部错误,无法完成请求
501: Not Implemented 服务器不支持请求的功能,无法完成请求
502: Bad Gateway 作为网关或者代理工作的服务器尝试执行请求时,从远程服务器接收到了一个无效的响应
503: Service Unavailable 由于超载或系统维护,服务器暂时的无法处理客户端的请求。延时的长度可包含在服务器的Retry-After头信息中
504: Gateway Time-out 充当网关或代理的服务器,未及时从远端服务器获取请求
505: HTTP Version not supported 服务器不支持请求的HTTP协议的版本

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/782263.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

四、(1)网络爬虫入门及准备工作(爬虫及数据可视化)

四、(1)网络爬虫入门及准备工作(爬虫及数据可视化) 1,网络爬虫入门1.1 百度指数1.2 天眼查1.3 爬虫原理1.4 搜索引擎原理 2,准备工作2.1 分析爬取页面2.2 爬虫拿到的不仅是网页还是网页的源代码2.3 爬虫就是…

Golang | Leetcode Golang题解之第213题打家劫舍II

题目: 题解: func _rob(nums []int) int {first, second : nums[0], max(nums[0], nums[1])for _, v : range nums[2:] {first, second second, max(firstv, second)}return second }func rob(nums []int) int {n : len(nums)if n 1 {return nums[0]}…

7.pwn 工具安装和使用

关闭保护的方法 pie: -no-pie Canary:-fno-stack-protector aslr:查看:cat /proc/sys/kernel/randomize_va_space 2表示打开 关闭:echo 0>/proc/sys/kernel/randomize_va_space NX:-z execstack gdb使用以及插件安装 是GNU软件系统中的标准调试工具,此外GD…

【计组OS】I/O方式笔记总结

苏泽 “弃工从研”的路上很孤独,于是我记下了些许笔记相伴,希望能够帮助到大家 目录 IO方式:程序查询方式 工作原理 程序查询方式的详细流程: 1. 初始化阶段 2. 发送I/O命令 3. 循环检查状态 4. 数据传输 5. 继续查询 6…

reactor和proactor模型

Reactor模型是非阻塞的同步IO模型。在主线程中也就是IO处理单元中,只负责监听文件描述符上是否有事件发生,有的话就立即将事件通知工作线程,将socket可读可写事件放入请求队列,交给工作线程处理。 总而言之就是主线程监听有事件发…

期末考试结束,老师该如何私发成绩?

随着期末考试的落幕,校园里又恢复了往日的宁静。然而,对于老师们来说,这并不意味着工作的结束,相反,一系列繁琐的任务才刚刚开始。 成绩单的发放,就是其中一项让人头疼的工作。家长们焦急地等待着孩子的考试…

可视化作品集(08):能源电力领域

能源电力领域的可视化大屏,有着巨大的用武之地,不要小看它。 监控能源生产和消耗情况: 通过可视化大屏,可以实时监控能源生产和消耗情况,包括发电量、能源供应情况、能源消耗情况等,帮助管理者及时了解能…

14-39 剑和诗人13 - 顶级大模型测试分析和建议

​​​​​ 随着对高级语言功能的需求不断飙升,市场上涌现出大量语言模型,每种模型都拥有独特的优势和功能。然而,驾驭这个错综复杂的生态系统可能是一项艰巨的任务,开发人员和研究人员经常面临选择最适合其特定需求的模型的挑战。…

React中的useMemo和memo

引言 React是一个声明式的JavaScript库,用于构建用户界面。在开发过程中,性能优化是一个重要的方面。useMemo和memo是React提供的工具,用于帮助开发者避免不必要的渲染和计算,从而提升应用性能。 问题背景 在React应用中&#…

Golang | Leetcode Golang题解之第214题最短回文串

题目&#xff1a; 题解&#xff1a; func shortestPalindrome(s string) string {n : len(s)fail : make([]int, n)for i : 0; i < n; i {fail[i] -1}for i : 1; i < n; i {j : fail[i - 1]for j ! -1 && s[j 1] ! s[i] {j fail[j]}if s[j 1] s[i] {fail[i…

【密码学】密码学中的四种攻击方式和两种攻击手段

在密码学中&#xff0c;攻击方式通常指的是密码分析者试图破解加密信息或绕过安全机制的各种策略。根据密码分析者对明文、密文以及加密算法的知识程度&#xff0c;攻击可以分为以下四种基本类型&#xff1a; 一、四种攻击的定义 &#xff08;1&#xff09;唯密文攻击(COA, C…

MySQL学习(7):4种常用函数

1.字符串函数 mysql中内置了很多字符串函数&#xff0c;常用的几种如下&#xff1a; concat(s1,s2,s3...)字符串拼接&#xff0c;将s1,s2,s3...拼接成一个字符串 lower(s1) 将字符串s1全部转为小写upper(s1)将字符串s1全部转为大写lpad(s1,5,*) 如果字符串s1不足5位&#xff…

对BSV区块链的曼达拉网络通俗易懂的解释

​​发表时间&#xff1a;2023年6月15日 BSV区块链正在引入“曼达拉”升级&#xff0c;使BSV区块链网络的拓扑结构能够适配Teranode&#xff0c;适配这个可以大幅扩容的节点软件。BSV区块链上曼达拉网络的概念并不会改变整个系统的核心规则&#xff1b;相反&#xff0c;它能够引…

vue3使用方式汇总

1、引入iconfont阿里图库图标&#xff1a; 1.1 进入阿里图标网站&#xff1a; iconfont阿里&#xff1a;https://www.iconfont.cn/ 1.2 添加图标&#xff1a; 1.3 下载代码&#xff1a; 1.4 在vue3中配置代码&#xff1a; 将其代码复制到src/assets/fonts/目录下&#xff1…

Python打开Excel文档并读取数据

Python 版本 目前 Python 3 版本为主流版本&#xff0c;这里测试的版本是&#xff1a;Python 3.10.5。 常用库说明 Python 操作 Excel 的常用库有&#xff1a;xlrd、xlwt、xlutils、openpyxl、pandas。这里主要说明下 Excel 文档 .xls 格式和 .xlsx 格式的文档打开和读取。 …

python爬虫入门(三)之HTML网页结构

一、什么是HTML 1、网页的三大技术要素&#xff1a; HTML定义网页的结构和信息&#xff08;骨架血肉&#xff09;CSS定义网页的样式&#xff08;衣服&#xff09;JavaScript定义用户和网页的交互逻辑&#xff08;动作&#xff09; 2、一个最简单的HTML&#xff1a;用<>…

【TB作品】51单片机 Proteus仿真 超声波读取+LCD1602显示仿真12MHZ

实验报告&#xff1a;51单片机 Proteus仿真 超声波读取LCD1602显示仿真 一、实验背景 本实验旨在使用51单片机&#xff08;AT89C51&#xff09;结合超声波传感器HC-SR04和LCD1602液晶显示屏&#xff0c;通过Proteus仿真平台实现超声波测距功能&#xff0c;并将测得的距离显示…

基于Python API的机械臂UDP上报设置及读取

睿尔曼机械臂提供了1个可持续读取机械臂状态的接口&#xff0c;UDP通信状态反馈接口。 该接口提供了json协议、API的读取&#xff0c;设置通信开启之后无需再进行设置即可以固定频率读取。 Python程序源码可从以下网盘地址获取&#xff08;地址永久有效&#xff09;&#xff1…

排序(2)

我们在排序&#xff08;1&#xff09;中说到选择排序的代码&#xff1a; void SelectSort(int* a,int n) {int begin0,endn-1;int minibegin,maxbegin;for(int ibegin1;i<end;i){if(a[i]>a[max]){maxii;}if(a[i]<a[mini]){minii;}begin;--end;}Swap(&a[beign],&a…

【NTN 卫星通信】Starlink基于终端用户的测量以及测试概述

1 概述 收集了一些starlink的资料&#xff0c;是基于终端侧部署在野外的一些测试以及测量结果。 2 低地球轨道卫星网络概述 低地球轨道卫星网络(lsn)被认为是即将到来的6G中真正实现全球覆盖的关键基础设施。本文介绍了我们对Starlink端到端网络特征的初步测量结果和观测结果&…