安全见闻（二）

安全见闻（二）
姓名：flydream飞花似梦
日期：2024年10月25日

一、引言

大家好，今天我们将继续深入探讨外部程序的相关知识，帮助初学者更加直观地理解这部分内容。今天的课程将更加细致地讲解外部程序，为大家提供更全面的学习方向。

二、安全行业的语言需求

1. 语言选择

• 红队攻防: 需要学习的编程语言包括Python、PHP和Java。选择其中一种进行深入学习即可。
• 建议: 选择简单易上手的语言，如Python，以提高学习效率。

2. 学习方向

• 目标: 找准努力的方向，避免盲目学习。
• 重要性: 相关性越强，学习越容易。例如，红队攻防主要涉及Python、PHP和Java。

三、软件程序的本质

1. 定义

• 软件程序: 是一种计算机程序，用于计算机和设备之间的通信。
• 组成: 无论何种程序，都是由代码组成的。

2. 本质

• 代码: 代码是程序的核心，不同类型的软件程序本质上都是代码。
• 重要性: 不需要刻意区分不同类型的软件程序，它们都是代码的不同表现形式。

四、外部程序的构成

1. 前端

• 语言: HTML、CSS、JavaScript
• 功能: 完成用户界面的展示和交互。

2. 后端

• 语言: PHP、Java、Python、Go、C++、Node.js等
• 功能: 处理业务逻辑和数据操作。

3. 数据库

• 类型: 关系型数据库（如MySQL、SQL Server）和非关系型数据库（如MongoDB、Redis）
• 功能: 存储和管理数据。

4. 服务器

• 中间件: Apache、Nginx、IIS、Tomcat等
• 功能: 提供服务器端的服务和管理。

五、前端语言及其漏洞

1. HTML

• 漏洞: 点击劫持（Clickjacking）

2. CSS

• 漏洞: 注入攻击（Injection Attacks）

3. JavaScript

• 漏洞:

• • XSS (跨站脚本攻击): 分为DOM型、反射型和存储型。- 点击劫持: 通过透明框架欺骗用户点击恶意链接。- 请求走私 (HTTP Smuggling): 篡改HTTP请求，绕过服务器的安全验证。

六、后端语言及其漏洞

1. PHP

• 漏洞: 反序列化漏洞、SQL注入、命令注入等。

2. Java

• 漏洞: 反序列化漏洞、SSRF（服务器端请求伪造）等。

3. Python

• 漏洞: 注入漏洞、命令注入漏洞等。

七、数据库及其漏洞

1. 关系型数据库

• 示例: MySQL、SQL Server
• 漏洞: SQL注入、XSS、命令注入等。

2. 非关系型数据库

• 示例: MongoDB、Redis
• 功能: 存储和管理非结构化数据。

八、服务器程序及其漏洞

中间件

• 示例: Apache、Nginx、IIS、Tomcat
• 漏洞: 信息泄露、文件上传、文件解析、目录遍历、访问控制等。

九、学习建议

1. 基础语言

• 前端: 学习HTML、CSS和JavaScript。
• 后端: 选择一门后端语言进行学习，如Python、PHP或Java。
• 数据库: 了解1-2种数据库语言，如MySQL。

2. 实践

• 建议: 每天抽出时间进行实际操作和练习，提高实际应用能力。

十、总结

课程目标

• 提供方向: 为初学者提供一个明确的学习方向，帮助打下坚实的基础。
• 个人努力: 学习是一个持续的过程，需要个人的不断努力和实践。

附录

常见问题

• Q: 如何选择学习的编程语言？

• • A: 选择简单易上手的语言，如Python，以提高学习效率。

• Q: 学习前端和后端的区别？

• • A: 前端主要涉及用户界面的展示和交互，后端主要处理业务逻辑和数据操作。