后台开发安全基础知识整理

最新推荐文章于 2024-10-22 18:26:26 发布
原创 最新推荐文章于 2024-10-22 18:26:26 发布 · 789 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

1 背景

如今系统安全性越来越重要,作为后台开发也应该具备基础的安全意识,这样避免犯简单的错误,提高系统的安全性。因此本文整理了需要具备的基本意识。

2 安全基本概念

列举需要了解的基本概念列表,但不做详细解释,仅当作目录,详细内容可以查询网络资料。

  • 越权
    • 水平越权(数据越权)
    • 垂直越权 (功能越权)
  • SQL注入
  • 跨站脚本攻击(XSS)
  • URL重定向篡改漏洞
  • 服务端请求伪造(Server-Side Request Forgery = SSRF)
  • XML外部实体注入(XXE)
  • 恶意文件操作
    • 恶意文件上传:例如上传系统会接收上传文件,但没对文件做限制,导致被传入恶意文件,完成系统攻击。
    • 恶意文件下载:利用目录访问符号下载系统重要文件,如/…/…/…/etc/passwd
    • 恶意文件覆盖:统一利用路径上传文件,将正常文件覆盖,达到破坏系统的目的
  • 命令注入:接口对外提供执行命令的功能,但命令和数据未分离,导致外部注入非法命令,实现系统攻击
  • CORS配置错误
  • 系统逻辑异常
    • 并发资源访问,例:当账号并发发起请求,但系统未做全局限制
    • 未检查依赖关系,一个功能有多个状态,状态变换时没做依赖检查,导致可以直接跳过其中某个状态,从而实现非法操作
    • 仅靠前端进行安全检查

3 总结

2中列出了常见基础问题,业务开发人员也应学习,提高基本安全意识。

Java高频面试基础问题与知识点整理
曾经“等你生日那天”都遥远得像未来,如今却可欢愉的挥手说“下个十年见”
11-04 171万+
Java高频面试知识点总结:覆盖高频基础知识考点+高频集合知识点深入分析+高频多线程与并发编程面试题汇总+其他扩展考察等。
管理信息系统中后台数据的安全性研究
03-03
管理信息系统后台数据库的安全性研究报告。此资源是我花了2块钱在网上购得,作为论文是很不错的。
linux 后台开发—浅谈网络安全
资料qun832218493
05-28 758
每天十分钟,熟读一个技术点,水滴石穿,一切只为渴望更优秀的你! ————零声学院 网络安全简介 连接网络的主机,特别是连接因特网的主机,比没有连接入网络的主机会暴露出更多的安全问题。安全问题。网络安全性高可以降低连接网络的风险,但就其性质而言,网络访问和计算机安全性是矛盾的。网络是一条数据高速公路,它专门用来增加对计算机...
后端开发—10个小技巧教你保证线程安全
Linuxhus的博客
06-28 358
对于从事后端开发的同学来说,线程安全问题是我们每天都需要考虑的问题。线程安全问题通俗的讲:主要是在多线程的环境下,不同线程同时读和写公共资源(临界资源),导致的数据异常问题。比如:变量a=0,线程1给该变量+1,线程2也给该变量+1。此时,线程3获取a的值有可能不是2,而是1。线程3这不就获取了错误的数据?线程安全问题会直接导致数据异常,从而影响业务功能的正常使用,所以这个问题还是非常严重的。那么,如何解决线程安全问题呢?今天跟大家一起聊聊,保证线程安全的10个小技巧,希望对你有所帮助。​我们都知道只有多个
web前后端开发不得不聊的安全问题
11-02 154
web前后端开发不得不聊的安全问题 https://juejin.im/post/59d85f956fb9a00a3e308c09 自己整理的文章,从掘金转到博客园。 转载于:https://www.cnblogs.com/Abner5/p/7771543.html...
后端系统的安全
xixixixixixixi21的博客
06-28 520
后端系统的安全性是任何Web应用或服务的核心组成部分,它涉及保护数据、用户隐私以及系统免受恶意攻击。以下是后端安全的一些关键点:认证和授权:确保只有经过身份验证的用户才能访问特定资源。这通常包括使用用户名/密码、API密钥、OAuth等机制。数据加密:敏感信息如密码、信用卡号应进行加密存储,即使是传输过程中,也应使用HTTPS确保数据在传输中的安全。输入验证:验证用户输入,防止SQL注入、跨站脚本(XSS)和跨站请求伪造(CSRF)等攻击。
安卓开发中遇到的重难点解析,也包括平常的读书笔记和知识点整理
最新发布
11-25
本文将对安卓开发中常见的重难点进行深入解析,并分享相关的读书笔记和知识点整理,旨在为安卓开发者提供一份实用的参考资料。 首先,安卓系统的核心是由Linux内核驱动的,因此理解Linux操作系统的工作原理对于安卓...
精选资源
linux C++ 服务器/后台开发 秋招整理资料
10-03
下面将详细介绍Linux C++服务器后台开发的相关知识点。 **一、Linux基础知识** 1. **Linux操作系统**:理解Linux内核、文件系统、进程管理、内存管理、网络模型等基本概念。 2. **Shell命令**:掌握常用的shell命令...
2023年C/C++Linux服务器开发/后台架构师知识体系整理(持续更新中)
C/C++Linux、音视频、DPDK
07-05 9310
C/C++Linux服务器开发/后台架构师知识体系1. 精进基石专栏1.1 数据结构与算法面试必聊的排序与KMP随处可见的红黑树磁盘存储链式的B树与B+树海量数据去重的Hash与布隆过滤器,bitmap图论算法,di jkstra,dfs,bfs,动态规划1.2 设计模式创建型设计模式结构型设计模式行为型设计模式1.3 工程管理手写:Makefile/cmake/configure操作:git/svn与持续集成Linux系统运行时参数命令2. 高性能网络设计专栏2.1 网络编程网络io与select,pol
技术部研发团队技术干货分享:后台开发经验分享.pptx
11-08
本分享文档,由技术部的研发团队成员郝军于2017年3月12日整理和分享,涵盖了一系列的后台开发干货与实践经验,详细解读了程序员应该具备的思维方式、开发中常遇到的问题、以及在后台开发过程中涉及到的关键技术点,...
后台管理系统安全性问题(本地数据的token跟role不可更改)
iFfy的博客
08-08 414
当我们做后台的时候 , 肯定要把token存储在本地中 , 但是当别人篡改的时候该怎么办呢。
Web后端开发知识点整理
qq_35273452的博客
09-02 3575
Web后端开发知识点整理 九大内置对象 1:为了方便开发者而在jsp页面加载完毕时而自动创建的内置对象 内置对象名 类型 request HttpServletRequest response HttpServletResponse config ServletConfig application ServletConte...
浅谈开源web程序后台安全
刘书的IT博客
04-21 1535
一、前言        不知怎的最近甚是思念校园生活,思念食堂的炒饭。那时会去各种安全bbs上刷刷帖子,喜欢看别人写的一些关于安全技巧或经验的总结;那时BBS上很多文章标题都是:成功渗透XXX,成功拿下XXX。这里便以一篇入侵菲律宾某大学的文章引出文章的主题,我们先简要看一下过程。大学网站使用了名为joomla的开源web程序,(1)青年使用一个joomla已经公开的漏洞进入we
后台业务安全(一)
xxx
05-16 2380
后台业务安全(一) 学习业务安全的准备工作: 掌握一套成熟的业务安全测试的方式方法,消化吸收前人总结的宝贵经验,开拓自己的安全事业。 了解目标平台的业务流程。 测试技巧: 科学的测试方法 学会使用思维导图等工具 1、登录认证模块测试 1.1暴力破解测试 方法:根据需求,加载用户字典或密码字典进行穷举测试 步骤: 1、对浏览器进行HTTP代理配置,将浏览器访问...
后端基础——网络安全
HanTechB的博客
03-20 844
后端基础 基础知识 服务端:用于接受处理其他程序发出的请求或者安装此类程序的的设备(计算机) 客户端:向服务器发起请求的程序(软件浏览器) 库:就是一堆表组成的数据集合 表:基础的二维表 通过命令行中输入mysql -u root -p 输入密码为password:root 通过命令行和php数据库进行交互并且在命令行中对php数据库,表,对象,进行修改,删除,创建等操作 三种基础SQL语句类型: DDL(数据定义语言):创建,删除或修改数据库以及数据库中的表等对象 create:创建数
java后端知识点梳理——web安全
weixin_52276913的博客
11-23 424
跨域 当浏览器执行脚本时会检查是否同源,只有同源的脚本才会执行,如果不同源即为跨域。 这里的同源指访问的协议、域名、端口都相同。 同源策略是由 Netscape 提出的著名安全策略,是浏览器最核心、基本的安全功能,它限制了一个源中加载脚本与来自其他源中资源的交互方式。 Ajax 发起的跨域 HTTP 请求,结果被浏览器拦截,同时 Ajax 请求不能携带与本网站不同源的 Cookie。 script、img、iframe、link、video、audio 等带有 src 属性的标签可以从不同的域加载和执行资源
实现Java后端服务的安全认证与授权策略
聚娃科技开发者博客
07-04 443
通过本文的介绍,我们深入了解了如何在Java后端服务中实现安全认证与授权策略,保护系统的安全性和数据的机密性。合理选择认证方式、授权机制和安全实践,能够有效应对各种安全挑战,确保系统的稳定运行和用户信息的安全。在Java中,可以通过注解或配置方式实现权限控制,例如使用Spring Security的注解方式来控制方法或URL的访问权限。在当今互联网应用的开发中,安全性是至关重要的考虑因素。通过有效的认证和授权策略,可以确保只有经过验证的用户和服务能够访问系统的资源和数据,避免未授权访问和数据泄露的风险。
后端常用安全措施
AiFlutter的博客
10-22 1100
后端常用安全措施
Linux C/C++后台开发面试核心知识点整理
综上所述,这套“Linux C和C++ 后台开发 面试题目”资料不仅覆盖了应聘此类岗位所需的全部核心知识点,而且通过模块化组织实现了由浅入深、理论结合实践的知识传递路径。它不仅是面试刷题手册,更是一份系统性的技能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值