渗透测试笔记—安全见闻2

 声明：

学习视频来自B站UP主泷羽sec,如涉及侵权马上删除文章。本文只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负。

本文只做学习笔记使用，文中出现任何截图涉及到敏感信息均已打码处理，如果涉及到侵权，请及时联系我删除。

https://space.bilibili.com/350329294

什么是软件程序代码

软件程序是指计算机及其相关设备所执行的指令代码。实际上，所有的应用程序，包括网页设计、软件开发等，都是通过代码实现其功能的。代码的质量不仅仅体现在其复杂性上，更重要的是代码的功能是否能正确且高效地实现。

渗透测试的角度

从渗透测试专家的角度来看，软件代码的结构和安全性至关重要。恶意攻击者可以利用软件中的漏洞发起攻击。因此，在开发过程中，开发者应具备安全意识，遵循最佳实践，确保应用程序在设计阶段就考虑安全因素。

---

Web开发

结构组成

Web开发分为前端和后端。

• 前端：涉及用户直接交互的部分，包括网页的布局、设计和交互。常用的技术包括 HTML、CSS 和 JavaScript。
• 后端：处理用户请求，涉及数据存储和业务逻辑，通常与数据库交互。

安全性考虑

在Web开发中，必须重视安全性，尤其是对常见攻击向量的防范，比如XSS（跨站脚本攻击）和SQL注入攻击。渗透测试的目的是暴露此类安全漏洞，从而增强应用程序的安全性。

---

常见编程语言与安全

HTML

HTML（超文本标记语言）是构建网页的基础。虽然它本身不涉及逻辑，不过不当使用或配置可能导致安全问题。

CSS

CSS（层叠样式表）主要用于美化网页，但也可能在样式注入攻击中被利用。开发者应避免使用不安全的CSS规则。

JavaScript

JavaScript是动态语言，用于增加页面的交互性。为了减少XSS攻击：

• 采用内容安全策略（CSP）来限制页面可以执行的代码来源。
• 对用户输入进行严格验证和输出编码，防止恶意代码执行。

安全漏洞

• XSS（跨站脚本攻击）：攻击者可以利用此漏洞向用户浏览器注入恶意脚本。确保输入验证及输出编码，对于防范此类攻击至关重要。
• SQL注入：通过恶意 SQL 代码，攻击者可以访问和修改数据库。使用参数化查询可以有效减少这种漏洞的风险。

---

开发框架与工具

jQuery

jQuery是一个流行的JavaScript库，用于简化DOM操作和事件处理。尽管提升了开发效率，但不当使用仍有可能引入安全隐患，比如忘记对用户输入进行验证。

Bootstrap

Bootstrap是一个前端框架，帮助快速构建响应式网站。确保引入的任何外部库或框架都是最新的，以避免已知漏洞的风险。

安全性最佳实践

在使用这些库和框架时，避免使用未维护的旧版本且定期进行安全审计。

前端与后端框架及漏洞分析

• 前端框架：Vue、React、Angular
• 基础编程语言：HTML、CSS、JavaScript
• 安全漏洞：提到了一些常见的前端和后端漏洞，如XSS、CSRF等

框架漏洞分析

1. 前端漏洞：

前端漏洞的常见类型包括：

• XSS（跨站脚本攻击）：

  • 攻击者可以在用户浏览器中注入恶意脚本，通常是通过未经过滤的用户输入。
  • 防御建议：使用内容安全策略（CSP），对输出进行适当的编码和验证。

• CSRF（跨站请求伪造）：

  • 攻击者诱使用户执行不想要的操作，如提交表单或更改用户设置。
  • 防御建议：使用CSRF令牌，验证用户请求的来源。

• 点击劫持：

  • 攻击者利用iframe点击劫持用户，进行未经授权的操作。
  • 防御建议：使用HTTP头部X-Frame-Options来防止页面被嵌入到其他网站。

2. 后端与服务器漏洞：

后端漏洞的常见类型包括：

• SQL注入：

  • 攻击者可以通过操纵数据库查询来获取、修改或删除数据。
  • 防御建议：使用参数化查询和ORM框架，以防止注入攻击。

• 命令注入：

  • 攻击者通过漏洞向服务器发送命令，执行未授权操作。
  • 防御建议：严格限制输入范围和使用安全的API调用。

• 信息泄露：

  • 由于不当配置或缺乏必要的权限控制，敏感信息可能被泄露。
  • 防御建议：使用合适的权限管理，确保敏感信息不被公开。

• 反序列化漏洞：

  • 攻击者可以通过反序列化操作操控应用程序。
  • 防御建议：验证和清理所有反序列化的输入。

3. SSRF（服务器端请求伪造）：

• 攻击者可以通过发送请求到内部服务器或本地服务来获取敏感数据。
• 防御建议：对外部请求进行验证和过滤。

编程语言与框架选择

在后端开发中，常用的编程语言和框架包括：

1. 后端编程语言：

• JavaScript/Node.js：

  • 常用于构建高效的Web应用程序，适合处理非阻塞I/O的场景。

• Python：

  • 凭借其丰富的库和框架（如Django和Flask），适用于快速开发和原型设计，同时也提倡安全编码实践。

• Java：

  • 以其稳定性和强大的生态系统（如Spring框架）广受欢迎，适合大型企业级应用。

• PHP：

  • 适合中小型Web应用，注意最新版本中的安全性改进。

2. 服务器端框架：

• Express.js（Node.js的一部分）：

  • 快速、灵活，广泛用于构建Web应用。

• Django（Python）：

  • 提供强大的安全功能，帮助开发者避免很多安全陷阱。

• Spring（Java）：

  • 强大的企业级解决方案，内置了多种安全功能。

总结

从渗透测试的角度来看，了解前后端框架及其潜在漏洞是至关重要的。通过识别这些漏洞并实施适当的安全措施，可以极大地增强应用程序的安全性。开发者应整合安全最佳实践到开发流程中，从而减少攻击面，提高应用程序的安全性。在选择后端语言和框架时，也要考虑代码的可维护性和安全性，以确保长期的应用稳定和安全性。

数据库与服务器介绍及漏洞

1. 数据库类型与特点

关系型数据库

• MySQL：开源、跨平台，广泛用于Web应用程序，具备良好的性能和灵活的存储引擎。
• SQL Server：由微软开发，提供强大的数据分析和报表功能，适合企业级应用。
• PostgreSQL：支持复杂查询和事务，拥有良好的扩展性和稳定性，是一个成熟的开源数据库。

非关系型数据库

• MongoDB：文档导向，支持横向扩展，适合处理非结构化数据。
• CouchDB：以JSON文档为基础，支持多种数据类型，具备强大的同步能力。
• Neo4j：图数据库，专注于处理高度互联的数据，适合社交网络等应用。
• Redis：内存数据库，支持键值对存储，极其高效，常用于缓存和实时数据存储。

数据库的安全漏洞

• SQL注入：攻击者通过插入恶意SQL代码，使数据库执行未授权的操作，获取敏感数据。
• 权限管理不当：未正确设置用户权限，导致数据泄露或篡改。
• 信息泄漏：缺乏安全配置可能导致数据库信息曝光，攻击者可以收集到数据库结构和表名等信息。

2. 服务器程序分析

常见服务器软件

• Apache：开源、灵活可靠的Web服务器，支持多种模块化扩展，但易受到配置不当引发的安全漏洞。
• Nginx：高性能的反向代理服务器，广泛用于负载均衡和调度。
• IIS：微软的Web服务器，集成于Windows系统中，业务集中于企业环境。
• Tengine：基于Nginx的Web服务器，经过优化，提供了额外的功能。
• Tomcat 和 WebLogic：用于Java Servlet和Java EE应用，支持动态内容生成。

服务器可能出现的漏洞

• 信息泄露：服务器错误配置，暴露敏感文件和版本信息，容易被攻击者利用。
• 文件上传漏洞：不当限制文件上传类型或大小，可能导致攻击者上传恶意脚本。
• 访问控制不足：若未设置严格的访问权限，攻击者可能获取未授权的信息。
• DOS/DDOS攻击：通过大量请求耗尽服务器资源，导致服务不可用。
• 未打补丁：未及时更新服务器和应用程序，可能导致被利用已知漏洞。

3. 总结

有效的数据库和服务器安全管理需要全面的知识和实践：

• 数据库安全：了解每种数据库的特点与潜在漏洞，定期进行安全审计；对所有输入进行严格验证，防止SQL注入。
• 服务器安全：配置服务器时，确保关闭不必要的服务，限制文件上传类型，并实施适当的访问控制策略；及时安装安全更新和补丁。