Web安全之浅见(2),网络安全知识体系大纲

最新推荐文章于 2024-09-14 15:02:39 发布
最新推荐文章于 2024-09-14 15:02:39 发布
阅读量922 收藏 26
点赞数 12
分类专栏: 2024年程序员学习 文章标签: web安全 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_83974020/article/details/137929227
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文

2、服务器资源监控

实际上这个和第一个是同步的,如果服务器资源,包括CPU,内存,硬盘都突然间占满,也要怀疑CC的攻击。

3 、接口相应异常率

就算是模拟请求,可能还是不会正常返回业务响应码,我们完全可以监控我们的响应code(可能不是响应头的响应码)的错误率,如果非常高,那也说明我们可能遭到了CC攻击。这个我们可以通过本地日志统计或者公司的监控平台来看,我们埋点时也基本上都会统计成功率,耗时等信息的。

解决手段:

1、拒绝代理访问

CC攻击基本上都是使用代理服务器的,我们完全可以限制所有代理服务器的访问,不过有可能误伤。

2、IP黑名单

可以对某些网段,某些IP设置黑名单,但感觉作用有限。

3、限流

没办法,限流会保证系统不崩,但可能会导致正常请求也被限流住了。

其他的防御手段可能还有增加CDN、增加防火墙、限制连接数、负载均衡、增加带宽等等。

二、XSS

1、原理

XSS全名是Cross Site Script,正因为叫XSS,是为了避免和前端的CSS重复。它的原理是攻击者通过向某界面插入一些恶意的脚本,使得在别人访问该页面j加载html的时候会自动执行恶意脚本,从而达到某种目的,比如窃取你的cookie啊,这是最致命的了。

我就结合我的网站来说,我现在要编辑一篇文章,然后我在正文中插入一个简单的脚本代码,如图:

当我编辑完,提交之后,假如我网站没有任何的防御机制,原封不动地将文章数据保存到数据库中。那当有一个用户要访问该文章对应的页面的时候,那这段代码就会被执行。如下:

这个简单的例子就展示了XSS攻击的思想。攻击者完全可以利用网站漏洞,在网站中输入恶意的HTML代码,当用户浏览该网站时,这段代码会被自动执行。可以盗取你的cookie,比如拿到用户的登录token,或者重定向其他网站等等。

2、防御

这里说下在Django中队XSS的防御措施。Django是分成两部分的,一是输入,二是输出。

首先,当你输入完内容要提交的时候,它是要对你的输入字符串进行转义的。

比如你上面输入了script,它会将其转义成:

 <script>alert(&#39海波你真帅!&#39) </script>

嗯,小样,我让你植入,去屎。

当你在执行提交事件时,Django模板会自动进行html转义,下面五个字符转义关系:

  • < 会转换为 <

  • 会转换为 >

  • ’ (单引号) 会转换为 ’
  • " (双引号)会转换为 "
  • & 会转换为 &

说完输入,再说输出。输出时Django默认对你加载的变量进行转义。

但说实话,有的时候我们是不需要转义,比如我的content内容本身就是富文本,在数据库中也是html啊,有各种html标签。因此这时候可以关闭自动转义。

关闭自动转移可以通过autoescape或者safe, safe是针对独立变量的,autoescape是针对整个代码块的。

{% autoescape off %}
    Hello {{ name }}
 Hello {{ name|escape }}
{% endautoescape %}

注意到没有,我有一个加了escape,这是说虽然对整个子模块关闭转义,但我还想对某个变量进行转义,那就用escape。

三、CSRF

我之前在我的网站中有介绍,感兴趣的可以访问: Django的CSRF介绍。

四、SQL注入

1、原理

SQL注入攻击的原理就是通过在Web表单中提交一些特殊的字符串,然后让服务器的数据库运行一些SQL语句,从而达到攻击的目的。比如获取用户信息,删除数据库数据等等。你想想,如果银行数据被获取或者篡改或者获取,是多么危险的一件事。

现在拿查询来说,一个标准的查询语句如下:

select username from auth_user where username = 'somename'

假如现在,用户在表单中输入了:’ or ‘1’=‘1’,那sql语句就变成:



**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
![img](https://img-blog.csdnimg.cn/img_convert/7909308538b95e10fbd89ed245d5f8d3.png)

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**

的朋友,可以添加V获取:vip204888 (备注网络安全)**
[外链图片转存中...(img-kOFxpBrh-1713431935421)]

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
常见Web安全问题及防御策略,想转行当程序员的必看
2401_83621384的博客
04-14 550
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
web安全详解(渗透测试基础)
Jinmindong
10-05 1726
web安全详解(渗透测试基础)
Web安全微专业正式课 大纲(图片)
diansui8797的博客
08-18 258
如果想报名学习,可以联系我。QQ:1097321785。 转载于:https://www.cnblogs.com/sx2960/p/11372174.html
web安全入门大纲
weixin_30679823的博客
06-29 531
操作系统 Linux安全 Linux基础入门与系统初探 文件及目录管理 文件内容编辑处理 文件过滤与查找 系统目录结构与重要系统文件详解 文件类型与文件属性 正则表达式与三剑客 用户管理知识 Linux文件权限详解 进程管理与软件管理 计划任务 数据存储管理与性能测试 Shell基础 Windows基础 计算机网络 网络概述 Wireshark使用 网络链路层、网络层协议基础 传输层协议基础 应用...
Web安全浅见
hbnn111的专栏
02-21 1175
昨天去参加了公司组织的一个关于网络安全的培训,了解了很多关于网络安全方面的知识,也才意识到网络安全是一项极其重要的领域。本篇文章主要聊聊Web安全。不过我对于网络安全方面不是特别懂,所以网络安全方面的大牛们,可以忽略我的文章哈。
常见 Web 安全攻防总结
2301_76694151的博客
05-22 1349
Web 安全地对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。本文代码 Demo 都是基于 Node.js 讲解,其他服务端语言同样可以参考。
Web安全基础(超详细!!!)
Ye的博客
08-21 1281
什么是webweb安全核心问题、Web应用中的基础知识、HTTP协议的请求/响应包、Web应用中常见的编码、HTML语言、PHP的语法及表单处理、动静态页面
校园网的网络安全问题之浅见.pdf
09-20
校园网的网络安全问题之浅见.pdf
企业安全生产责任主体之浅见.docx
09-30
3. **持续改进与创新**:随着生产条件的变化和技术的进步,企业必须不断地对安全生产管理体系进行优化升级。这既包括硬件设施的更新换代,也涵盖了软件层面的安全文化建设和制度完善。 4. **强化全员参与**:培养...
对加油、气站的消防安全管理浅见-安全管理-行业安全-石油化工.docx
02-14
2. **消防安全教育培训**:定期组织员工参加消防安全知识培训,包括但不限于消防器材的正确使用方法、火灾发生时的应急处理流程等。通过培训,使每位员工都能掌握必要的消防常识,能够在紧急情况下迅速有效地采取...
网络交易监管中流通环节食品安全监管问题的浅见宣贯.pdf
01-22
网络交易监管中流通环节食品安全监管问题的浅见宣贯.pdf
电力系统继电保护的安全管理之浅见.pdf
09-01
电力系统继电保护的安全管理是确保电力系统稳定运行的关键环节。继电保护装置的主要任务是对电力系统中的设备进行实时监控,防止因故障导致的停电事件,保障电网的正常供电。当系统运行正常时,继电保护装置监测设备...
2024年最全web安全是什么 主要分为哪几部分 _什么是web安全(1),附面试题
2401_84132496的博客
05-11 1003
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
web安全基础
lixbao的博客
04-15 4164
HTTP原理 1、HTTP协议解析 Hyper Text Transfer Protocol(超文本传输协议)是万维网协会(World Wide Web Consortium)和Internet工作小组IETF(Internet Engineering Task Force)合作的结果,(他们)最终发布了一系列的RFC RFC 1945 HTTP/1.0 RFC 2616 HTTP 1.1 HTTP工作流程 首先客户机与服务器需要建立连接。单击某个超级链接,经过TCP三次握手后,HTTP的工作开始。
Web 安全基础教程:从零基础入门到精通
最新发布
2301_77160226的博客
09-14 6948
Web 安全是指保护 Web 应用程序免受各种网络威胁,确保 Web 服务的保密性、完整性和可用性。在当今数字化时代,Web 应用广泛存在于各个领域,从电子商务到社交媒体,从企业内部系统到政府公共服务平台。Web 安全旨在防止恶意攻击者利用 Web 应用中的漏洞,窃取敏感信息、篡改数据或破坏服务。2.重要性对于企业而言,Web 安全关系到商业机密、客户信息的保护,一旦遭受攻击,可能面临巨大的经济损失、声誉损害和法律风险。
关于6种Web安全常见的攻防姿势
2401_84208172的博客
05-22 2189
关于6种Web安全常见的攻防姿势,XSS攻击的本质就是,利用一切手段在目标用户的浏览器中执行攻击脚本。
2023版)零基础入门Web安全,收藏这一篇就够了
m0_74914256的博客
03-27 3426
Web安全是指保护Web应用程序、Web服务器和Web浏览器免受各种网络攻击和恶意行为的方法和技术。随着越来越多的业务和活动转移到互联网上,Web安全成为越来越重要的问题。
web安全
JackChan
06-15 124
web安全
深度学习与机器学习在IoT中的革命
"本文探讨了机器学习在物联网(IoT)中的应用,特别是深度学习如何在有限资源下加速复杂系统和设备的开发。...随着技术的不断发展,我们可以期待更多创新的IoT解决方案将这些先进技术融入日常运营之中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值