这玩意儿怎么来的?
说白了,就是个人习惯和安全意识掉线了。为了不让自己忘密码,就搞个超级好记的,比如生日、名字缩写啥的。更离谱的是,直接用系统默认密码,简直就是给黑客开了后门!
它能搞出啥幺蛾子?
通过这玩意儿,黑客能干的事儿可就多了:
- 偷梁换柱改资料:进你后台,把你辛辛苦苦攒的数据改得面目全非。
- 空手套白狼盗钱财:溜进金融系统,把你账户里的钱搬个精光。
- 窥探隐私搞监控:闯入OA系统,企业内部机密文件随便看;潜入监控系统,你的一举一动都在黑客眼皮底下。
咋防住它?
设置密码记住这几条黄金法则:
- 别偷懒,空口令要不得:千万别用空密码或者系统自带的默认密码,这是弱口令的典型特征!
- 长度是王道,至少八位数:密码长度必须大于等于8个字符。
- 连续重复要不得:别用连续的字符(比如“AAAAAAAA”)或者重复的组合(比如“abc.abc.abc”)。
- 四大金刚来一套,缺一不可:密码必须包含大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符这四种类型,而且每种至少一个。如果某个类型只有一个字符,那它就不能是密码的开头或结尾。
- 个人信息要藏好,字典单词别乱抄:密码里别包含你或者你家人的姓名、生日、纪念日、邮箱地址等等,也别直接用字典里的单词。
- 字母数字换着用,看似复杂也白搭:别以为用数字或符号代替某些字母的单词就安全了,黑客分分钟破解给你看。
- 好记好输是关键,防偷窥是保障:密码要容易记住,而且输入要快,防止别人在你身后偷看。
- 定期更换保平安,三个月一换是底线:至少每90天换一次密码,防止那些潜伏在你电脑里的黑客继续用老密码作恶。
二、XSS(跨站脚本攻击):黑客的“借刀杀人”之术
啥是XSS?
XSS(Cross Site Scripting):跨站脚本攻击,怕和CSS(层叠样式表)搞混,所以就叫XSS了。
XSS原理:黑客往网页里塞一些恶意代码(通常是JavaScript脚本),等你用浏览器打开这个带毒的网页时,这些恶意代码就会在你浏览器里执行,然后黑客就“借你之手”搞事情了。
XSS能搞出啥事?
- 盗Cookie:偷走你的身份凭证,直接冒充你登录各种网站。
- 搞钓鱼:伪造登录页面,骗你输入账号密码,然后把你的信息卖给诈骗团伙。
- 偷偷挖矿:在你电脑里偷偷运行挖矿程序,消耗你的资源,给黑客赚钱。
- 狂刷流量:控制你的电脑访问指定网站,帮黑客刷流量,让你电脑卡到爆。
- 劫持后台:控制网站后台,篡改数据、删除文件,甚至直接关停网站。
- 篡改页面:把网页改成乱七八糟的样子,让你怀疑人生。
- 内网扫描:扫描你的内网,寻找其他漏洞,扩大攻击范围。
- 制造蠕虫:让恶意代码像病毒一样传播,感染更多电脑。
怎么防XSS?
- 输入验证要做好:对用户输入的内容进行严格检查,过滤掉恶意代码。
- 特殊字符要转义:把特殊字符(比如 <、>、 ’ 、 ” 等)转换成HTML实体,防止被当成代码执行。
三、CSRF(跨站请求伪造):防不胜防的“李鬼”攻击
啥是CSRF?
CSRF(Cross-Site Request Forgery),中文名叫跨站请求伪造。简单来说,就是黑客冒充你,向网站发送一些非法请求。
原理:
- 跨站点请求:请求不一定来自本站。
- 请求是伪造的:请求不是用户自己发起的。
CSRF能干啥?
- 篡改数据:修改你在网站上的个人信息、订单记录等等。
- 盗取隐私:获取你的敏感信息,比如联系方式、银行卡号等等。
- 辅助攻击:配合其他攻击手段,扩大攻击效果。
- 传播蠕虫:让CSRF像病毒一样传播,感染更多用户。
怎么防CSRF?
- 检查Referer:验证HTTP Referer头,判断请求是否来自同一域名。
- 缩短Cookie生命周期:限制Session Cookie的有效期,减少被攻击的机会。
- 使用验证码:在关键操作前要求用户输入验证码,确认是本人操作。
- 用一次性Token:每次请求都带上一个随机生成的Token,验证请求的合法性。
四、SQL注入:黑客的“隔墙取物”大法
SQL注入是怎么产生的?
当Web应用把用户输入的数据拼接到SQL语句里,然后发送给数据库执行时,如果没对用户输入做严格的过滤,黑客就可以构造恶意的SQL语句,直接操作数据库,偷走或者修改里面的数据。
SQL注入的本质是什么?
把用户输入的数据当成代码来执行,这违反了“数据与代码分离”的原则。
SQL注入的关键点:
- 用户能控制输入的内容
- Web应用把用户输入的内容带入到数据库中执行
SQL注入的危害有多大?
- 盗取敏感信息:偷走网站上的用户账号、密码、银行卡号等等。
- 绕过后台认证:直接登录网站后台,为所欲为。
- 后台登录语句:
SELECT * FROM admin WHERE Username='user' and Password='pass' - 万能密码:
'or'1'='1'#
- 后台登录语句:
- 提权获取系统权限:利用SQL注入漏洞,提升自己的权限,控制服务器。
- 读取文件信息:读取服务器上的敏感文件,比如配置文件、日志文件等等。
怎么防御SQL注入?
(1)预编译和绑定变量:用#{name}这种方式,可以有效防止SQL注入。
原因:使用PrepareStatement,SQL语句会预先编译好,SQL引擎会先进行语法分析,生成语法树和执行计划。这样,无论你后面输入什么参数,都不会影响SQL语句的语法结构了。因为语法分析已经完成了,后面输入的参数只会被当成字符串字面值参数,不会被当成SQL命令来执行。
(2)用正则表达式过滤参数:过滤掉用户输入中的特殊字符,防止黑客构造恶意SQL语句。
(3)过滤敏感字符串:比如insert、select、update、and、or等等,防止黑客利用这些关键字进行SQL注入。
五、文件上传:黑客的“釜底抽薪”之计
文件上传漏洞的原理是什么?
如果网站允许用户上传文件,但是没有对上传的文件进行严格的验证和过滤,黑客就可以上传恶意的脚本文件,然后通过执行这些脚本,获取服务器的控制权。
文件上传漏洞是怎么造成的?
- 服务器配置错误:比如目录权限设置不当,导致黑客可以执行上传的文件。
- 开源编辑器漏洞:一些开源编辑器存在漏洞,黑客可以利用这些漏洞上传恶意文件。
- 本地上传限制绕过:客户端的上传限制可以被绕过,黑客可以直接上传恶意文件。
- 服务端过滤不严格:服务器端对上传文件的过滤不严格,黑客可以通过各种手段绕过过滤。
文件上传漏洞的危害有哪些?
- 上传恶意文件:上传木马、病毒等等,感染服务器。
- Getshell:获取服务器的Shell权限,可以执行任意命令。
- 控制服务器:完全控制服务器,为所欲为。
黑客常用的绕过姿势
如何防御文件上传漏洞?
- 白名单判断后缀:只允许上传指定后缀的文件,比如jpg、png等等。
- 设置不可执行目录:把文件上传目录设置为不可执行,防止黑客执行上传的恶意脚本。
- 判断文件类型:验证文件的MIME类型,防止黑客上传伪装的文件。
- 重命名和随机路径:使用随机数改写文件名和文件路径,防止黑客猜测文件路径。
- 独立域名:单独设置文件服务器的域名,隔离攻击风险。
- 安全设备:使用专业的安全设备,比如WAF,进行防御。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取,或微信扫描下方二维码领取~
**读者福利 |** 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 **(安全链接,放心点击)**
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。****(全套教程文末领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!****(全套教程文末领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或点击链接免费领取~
**读者福利 |** 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 **(安全链接,放心点击)**
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!
扫一扫
2492
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
