为啥会有这玩意儿?
说白了,就是懒!为了防止自己老年痴呆,记不住密码,就搞个简单到姥姥都认识的。要么就是直接用系统默认的,简直是给黑客送人头。
后果有多严重?
有了弱口令,攻击者就能像逛自家后花园一样:
- 改资料: 随便进你后台,想怎么改就怎么改。
- 偷钱: 溜进金融系统,把你账户洗劫一空。
- 偷窥: 钻进监控系统,24小时直播你的生活。
- 窃密: 潜入OA系统,公司机密文件随便看。
如何自救?
记住这几条保命法则:
(1)别偷懒! 别用空密码或系统默认密码,那是弱口令界的VIP。
(2)够长才够硬! 密码长度至少8位,太短了就像牙签,一捅就破。
(3)别单调! 别用连续或重复的字符,比如“AAAAAAAA”或“tzf.tzf.”,黑客看了都想笑。
(4)四喜丸子! 密码必须包含大写字母、小写字母、数字和特殊字符,缺一不可!每个种类至少来一个,而且别放在开头或结尾。
(5)别暴露隐私! 别用你和家人的姓名、生日、纪念日、邮箱等信息,也别用字典里的单词,黑客很容易猜到。
(6)别玩谐音! 别用数字或符号代替字母,比如“P@$$wOrd”,这种小伎俩早就过时了。
(7)方便记忆,快速输入! 方便自己,迷惑他人。
(8)常换常新! 至少90天换一次密码,防止潜伏的入侵者继续作恶。
二、XSS(跨站脚本攻击):黑客在你眼皮底下“耍流氓”
啥是XSS?
XSS(Cross Site Scripting),江湖人称跨站脚本攻击。为了避免和CSS(层叠样式表)撞衫,所以改名叫XSS。
XSS的套路: 攻击者在网页里埋伏恶意脚本(通常是JavaScript),等你用浏览器打开这个网页,恶意脚本就会在你浏览器里“搞事情”,实现跨站攻击。
XSS有多可怕?
- 盗Cookie: 偷走你的身份令牌,冒充你为所欲为。
- 搞钓鱼: 伪造登录页面,骗你输入账号密码。
- 挖矿: 偷偷占用你的电脑资源,帮你挖矿。
- 刷流量: 控制你的浏览器,疯狂点击广告。
- 劫持后台: 攻入网站后台,篡改数据。
- 篡改页面: 在网页上乱涂乱画,恶心你。
- 内网扫描: 探测你的内网,寻找更多漏洞。
- 制造蠕虫: 像病毒一样传播,感染更多用户。
如何防XSS?
- 严格验证输入: 对用户输入的内容进行严格检查,过滤掉恶意代码。
- 转义特殊字符: 将特殊字符(如
<、>、'、"等)进行转义,防止它们被当成代码执行。
三、CSRF(跨站请求伪造):让你在不知不觉中“被卖了”
CSRF是啥?
CSRF(Cross-Site Request Forgery),中文名叫跨站请求伪造。简单来说,就是攻击者冒用你的身份,偷偷干坏事。
- 跨站: 请求来自其他网站。
- 伪造: 请求不是你自愿发出的。
CSRF的危害:
- 篡改数据: 偷偷修改你在网站上的个人信息。
- 盗取隐私: 获取你的敏感数据,比如联系方式、银行卡号等。
- 辅助攻击: 作为其他攻击手段的跳板。
- 传播蠕虫: 像病毒一样传播,感染更多用户。
如何防御CSRF?
- 检查Referer: 验证HTTP Referer头,判断请求是否来自同一域名。
- 缩短Cookie生命周期: 限制Session Cookie的有效期,减少被攻击的机会。
- 验证码: 在关键操作前,要求用户输入验证码,确认是本人操作。
- 一次性Token: 为每个请求生成一个随机Token,验证请求的合法性。
四、SQL注入:黑客“撬锁”进入你的数据库
SQL注入是怎么发生的?
当Web应用需要操作数据库时,如果不对用户输入的参数进行严格过滤,攻击者就可以构造恶意的SQL语句,直接交给数据库执行,从而获取或修改数据库中的数据。
SQL注入的本质:
把用户输入的数据当成代码来执行,违背了“数据与代码分离”的原则。
SQL注入的关键点:
1、你能控制输入的内容;
2、Web应用会把你的输入带入数据库执行。
SQL注入的危害:
- 盗取敏感信息: 窃取网站的账号密码、用户资料等敏感数据。
- 绕过后台认证: 伪造身份,直接登录后台。
- 万能密码: 构造特殊的SQL语句,绕过密码验证。
- 后台登陆语句:SELECT*FROMadminWHEREUsername='user’andPassword=‘pass’
- 万能密码:‘or‘1’=‘1’#
- 提权: 利用SQL注入漏洞,获取系统权限。
- 读取文件: 读取服务器上的敏感文件。
如何防御SQL注入?
(1)预编译+绑定变量: 使用PrepareStatement,预先编译SQL语句,将用户输入作为参数传入,防止恶意代码被执行。
简单来说,就是先给SQL语句“定型”,然后再把用户输入“填进去”,这样无论用户输入什么,都不会改变SQL语句的结构。
(2)正则表达式过滤: 使用正则表达式,过滤掉用户输入中的特殊字符。
(3)黑名单: 过滤掉SQL注入常用的关键词,如insert、select、update、and、or等。
五、文件上传:黑客上传“病毒”,控制你的服务器
文件上传漏洞的原理:
如果服务器没有对上传的文件进行严格的验证和过滤,攻击者就可以上传恶意的脚本文件,从而获取执行服务端命令的能力。
文件上传漏洞的成因:
- 服务器配置错误。
- 开源编辑器漏洞。
- 客户端上传限制不严格,被绕过。
- 服务端过滤不严格,被绕过。
文件上传漏洞的危害:
- 上传恶意文件。
- getshell:获取服务器的控制权限。
- 控制服务器:为所欲为。
如何绕过文件上传限制?
(图片URL保持不变)
如何防御文件上传漏洞?
- 白名单: 只允许上传指定后缀名的文件。
- 目录不可执行: 将文件上传目录设置为不可执行,防止恶意脚本被执行。
- 文件类型判断: 验证文件的真实类型,防止伪装。
- 随机重命名: 使用随机数改写文件名和文件路径,防止攻击者猜测文件路径。
- 独立域名: 单独设置文件服务器的域名,与其他业务隔离。
- 安全设备: 使用专业的安全设备进行防御。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
