8.15日的课程主要分为四个部分:
1.网站常见安全漏洞-网站基本组成及漏洞定义
2.网站常见安全漏洞-服务端漏洞介绍
3.网站常见安全漏洞-客户端漏洞介绍
4.网站常见安全漏洞-总结及强调网络安全法 -
讲述漏洞从网站构造开始,即前后端,网关和前后端交互;同时也有数据泄露,服务瘫痪,成果失窃和系统劫持四种安全事件,而主要的漏洞来自服务端和客户端,服务端的漏洞来自第三方组件漏洞,SQL注入问题,命令拼接,越权漏洞,水平越权和垂直越权,SSRF(即服务端伪造攻击,恶意请求),以及文件上传漏洞。
客户端漏洞有,开放重定向问题(即网站的恶意跳转),XSS(恶意的js代码脚本攻击),CSRF(跨站请求伪造,恶意篡改),点击劫持,CORS跨域配置错误,以及websocket的相关漏洞等
部分漏洞的防范方法:
1. SQL注入漏洞
防范方法:使用参数化查询、输入过滤等。
2. XSS跨站脚本漏洞
防范方法:对危险字符进行转义或过滤。
3. 目录遍历漏洞
防范方法:限制用户只能访问必要的文件目录,对所有输入进行过滤,禁用不必要的文件功能等。
4. 命令注入漏洞
防范方法:是避免直接调用命令行,对输入进行过滤或使用沙箱隔离。
5. 缓冲区溢出
防范方法:避免危险函数、进行边界检查等。
6. 使用经过验证的强加密算法
7.定期的安全评估,渗透测试等
8.COOKIE鉴权和token鉴权
9.点击劫持 防范方法:不让非预期的网站iframe站点
10.跨域白名单的设置和Nginx的反代
跨域问题的相关介绍:跨域是指一个域下的网页试图去请求另一个域下的资源,例如域 A 下的网页试图访问域 B 的数据。默认情况下,浏览器出于安全考虑,只允许同源(协议、域名、端口都相同)的请求,跨源请求会被拒绝。如果跨域请求没有限制和过滤,恶意网站可以利用这一漏洞获取目标网站的数据。
Nginx的反代相关:
首先是正向代理和反向代理的关系:正向代理是代理客户端,代替客户端发起请求,用于访问不可直接访问的服务器资源。而反向代理是代理服务器端,代替服务器接受客户端请求,用于保护服务器的安全。反向代理可以控制缓存,负载均衡,压缩内容减少网络流量。
网站运营者和个人均需要遵循的法律《中华人民共和国网络安全法》,不能泄露,损毁,丢失信息或窃取用户隐私。
