安全见闻2

声明：以下内容是来自B站的泷羽sec学习内容，如有侵权，请联系作者删除文章

B站泷羽sec：https://space.bilibili.com/350329294/video

安全见闻2

软件程序代码

• 软件程序是用于计算机计算和其他可编程设备的计算机程序，即代码。
• 代码是完成特定功能的指令集合，不必刻意区分不同类型的软件程序。
• 选择合适的编程语言可以提高开发效率，避免复杂化。

Web程序构成

• 前端：用户界面，通过URL请求后端。
• 后端：处理请求，调用数据库。
• 数据库：存储数据，通常位于服务器上。
• 服务器：后端通过服务器访问数据库，处理请求后将数据返回前端。

Web语言

• HTML：用于网页结构，存在点击劫持漏洞。
• CSS：层叠样式表，不直接处理数据或逻辑，但可能与HTML和JavaScript结合使用导致安全问题。
• JavaScript：存在多种漏洞，如XSS、CSRF、代码注入、请求走私等。

代码库

• 代码库是一组已编写好的函数或数据结构，供开发人员使用。
• JQuery：简化HTML文档操作和事件处理。
• Bootstrap：响应式前端框架，提供预定义的CSS样式和JavaScript组件。
• Element UI：为Vue.js设计的组件库。

框架

• 框架提供了一种组织和构建应用程序的方式。
• Vue、React、Angular：基于HTML, CSS, JavaScript编写的前端框架。

前端潜在漏洞

• 信息泄露：敏感信息未经适当保护而被泄露。
• XSS**（跨站脚本攻击）**：攻击者在网页中注入恶意脚本。
• CSRF**（跨站请求伪造）**：攻击者诱使用户在已认证的会话中执行非自愿的操作。
• 点击劫持：攻击者通过透明层或窗口欺骗用户点击。
• 访问控制：未正确实施的权限检查导致未授权访问。
• Web缓存漏洞：浏览器或服务器缓存敏感信息。
• 跨域漏洞：不同域之间的安全限制被绕过。
• 请求走私：攻击者利用HTTP请求的解析差异进行攻击。

后端潜在漏洞

• 信息泄露：同前端，但通常涉及服务器端的数据。
• XSS：虽然主要影响前端，但后端也需防范反射型XSS。
• CSRF：同前端，但后端需要实施适当的防御措施。
• SSRF**（服务器端请求伪造）**：攻击者利用服务器端应用程序发起恶意请求。
• 反序列化漏洞：不当的反序列化操作导致安全问题。
• SQL注入漏洞：攻击者通过注入恶意SQL代码来操纵数据库。
• 命令注入漏洞：攻击者通过注入恶意命令来执行未授权的操作。
• 服务端模板注入：攻击者通过注入模板代码来执行恶意操作。
• 跨域漏洞：同前端，但后端需要正确设置CORS策略。
• 访问控制：同前端，但后端需要确保适当的权限检查。

数据库潜在漏洞

1. SQL注入：攻击者通过注入恶意SQL代码来操纵数据库。
2. XSS：数据库层面的跨站脚本攻击。
3. 命令注入：攻击者通过注入恶意命令来执行未授权的操作。

服务器潜在漏洞

1. 信息泄漏：服务器配置不当导致敏感信息泄露。
2. 文件上传漏洞：攻击者上传恶意文件到服务器。
3. 文件解析漏洞：服务器错误解析文件导致安全问题。
4. 目录遍历：攻击者访问服务器上不应该被访问的目录。
5. 访问控制：服务器未正确实施权限检查，导致未授权访问