中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

六月WEB安全技術專題——說說那些安全的事

發布時間:2020-06-06 13:21:19 來源:網絡 閱讀:453 作者:白帽子社區 欄目:安全技術

團隊簡介:

 

白帽子社區技術團隊由多位優秀開發工程師,安全工程師,以及數名優秀安全技術人員自發組成,團隊本照 公平,公正,公開的理念來經營,并已經舉辦數次線上技術交流活動,現已推出,月度技術專題,優秀技術分析  今后將會陸續推出線上活動:產品研發交流,名人專訪,技術成果分享,優秀作者技術專欄,新手公開課等多項活動,來讓更多人了解和學習到更全面的安全技術。同時在今后我們還會舉辦CTF線上技術比賽和線下沙龍活動,讓各位更近距離的接觸到技術大牛學習更好的安全技術。

本次專題的核心主題經各位用戶的一致投票決定為WEB安全系列,本次我們將圍繞這個主題以平時所積累的眾多經驗對其展開全方面的研究和實例說明,讓各位了解到如今存在的各種各樣的風險以及如何防御這些存在的威脅。

 

文檔聲明:

本文檔意在為廣大安全技術人員提供科普教材提高網絡安全意識,非法利用本文檔中的技術對他人進行非法***的,造成的任何后果與本文檔及社區團隊無關。投稿人投稿內容對他人企業造成不良影響以及損失由投稿人承擔。

 

 

 

 

.WEB安全現況分析

 

隨著網絡時代的不斷變更,越來越多的企業或者政府機構開始從電視廣播,廣告轉變為網絡宣傳,網絡通知這無疑加快了信息傳播的速度以及擴大了傳播范圍,但由此而來的則是大量的地網絡***與數據泄露,各種安全公司也在不斷地修復漏洞推出安全產品但是網絡***并沒有因此停止,每年因為網絡***造成的損失高達上千億,我們也不得不深思造成這種現況的原因。

 

1.企業網站安全問題

企業網站多適用于各中小型企業,業務范圍更多的是體現在個人經營或者信息發布或廣告宣傳,大多數采用的是獨立開發的程序,而這種網站也是最為容易被***的對象,因為其首先是規模較小,第二此類網站有許多涉及財產交易所以在多數黑產交易中此類網站占有很大的比例,第三由于是獨立開發的程序多數企業沒有對程序進行良好的安全性審計所以就有可能存在很多的程序漏洞,但是由于多數企業的經營范圍較小,所以大多數的企業不愿意承受高昂的維護費用,所以大部分的企業都輕視了安全方面的重要性,像SQL注入這種高危漏洞大多數都發生在此類網站中,于是就造成很多剛踏入安全行業的人都可以輕而易舉的拿下很多企業網站。

2.社交網站安全問題

社交網站多數為論壇,社區等可多用戶注冊的網站,此類網站大多是采用通用CMS程序來搭建所以在程序安全上要高于企業網站的安全,但是沒有絕對的安全程序,社交網站由于其程序的公開性也為其他用戶尋找漏洞帶來了便利,而且由于其龐大的用戶數據也同樣成了黑產交易中的主要目標,但最重要的一點還是漏洞的生命周期,從漏洞的產生到通知官方修復再到補丁的推出這一過程的時間決定了用戶信息財產安全是否能得到保障。

二.漏洞種類詳解

NO.1  SQL注入漏洞

 

SQL注入漏洞正如我們在第一部分說的那樣絕大多數還是出現在中小型企業網站上,但同樣一些大型企業或政府機構也存在此類漏洞,造成SQL注入的主要原因是帶入查詢不合法的SQL語句,而造成不合法SQL語句的手段有很多種所以導致SQL注入漏洞一直是WEB安全中的一個重大威脅,由于漏洞的危害大且利用的簡易性也成為多數***眼中拿WEBSHELL以及竊取用戶信息的重要路徑之一。

 

注入漏洞分類:

GET注入

POST注入

COOKIE注入

盲注

寬字節注入

延時注入

字符串截斷注入

雙編碼注入

排序注入

 

對于SQL注入漏洞的認識多數人依舊停留在 and 1=1 and 1=2報錯上面,然而隨著網絡安全知識的普遍性這種手段也逐步的落后,SQL注入漏洞也逐漸變的隱匿起來,以往的過濾思維也變得難以抵擋***的***。

以下分析幾段漏洞代碼

首先看一下最簡單的

$name=$_REQUEST[name];

$sql=SELECT * FROM ADMIN WHERE name=$name;

$res=mysql_query($sql);

 

//此段代碼對用戶傳入的參數未做任何的過濾,直接導致了SQL注入的產生

看一下進階的

$name=$_REQUEST[name];

$sql=SELECT * FROM ADMIN WHERE name=$name’”;

$res=mysql_query($sql);

 

//此段代碼對變量添加了單引號的保護,但同樣我們可以提交  a or a=a #這種方法對其進行繞過

 

中級的

$name=$_GET[name];

$sql=SELECT * FROM ADMIN WHERE name=$name’”;

If($res=mysql_query($sql)){

  $res=mysql_fetch_row($res);

  print_r($res);

} else{

  echo 內容不存在;

}

 

//此段代碼對查詢不正確的信息做了一個友好的返回結果,但萬變不離其宗這SQL注入還是存在,產生了盲注漏洞

高級的

//論壇程序

 

$passwd=md5($_REQUEST[passwd]);

$sql=SELECT * FROM ADMIN WHERE name=admin and password=$passwd’”;

If($res=mysql_query($sql)){

  echo 登陸成功;

}else{

  echo 登陸失敗;

}

 

//這段代碼限制了用戶名并對密碼進行md5加密導致用戶無法使用敏感字符來測試是否存在注入,但是如果我們注冊了一個admin              的用戶名用其登陸就可以成功的登錄到管理員賬號

 

以上我們只是挑選了一些經典的漏洞類型,當然其他還有很多產生的原因,由于篇幅和漏洞出現概率的原因我們這里就不再一一展示。




以上內容摘自文檔內容。完整文檔請點擊以下鏈接下載。

鏈接:http://pan.baidu.com/s/1pLbQf1p 密碼:sjhz


官方公眾號:白帽子社區

官方交流群:298818545

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

金堂县| 威信县| 读书| 晋江市| 永年县| 许昌县| 丹阳市| 龙口市| 迁安市| 夏津县| 八宿县| 正定县| 栖霞市| 罗江县| 应用必备| 丹棱县| 敦煌市| 防城港市| 松桃| 西乌珠穆沁旗| 莲花县| 聊城市| 定远县| 麻栗坡县| 玉树县| 永德县| 曲松县| 同德县| 黔南| 钟祥市| 绍兴县| 杂多县| 蕉岭县| 资溪县| 工布江达县| 聂拉木县| 高密市| 双峰县| 陇南市| 乾安县| 夹江县|