安全见闻二

声明！

    学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面链接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)

Web 应用程序构成

1. 前端：用户界面，通常由 HTML、CSS 和 JavaScript 编写。
2. 后端：服务器端逻辑，处理业务逻辑、数据库交互等。
3. 数据库：存储应用程序数据，可以是关系型或非关系型。
4. 服务器：托管应用程序的物理或虚拟机器。

前端

• HTML：结构化内容，可能受到点击劫持攻击。
• CSS：样式信息，可能受到 CSS 注入攻击。
• JavaScript：客户端逻辑，可能受到 XSS 攻击（DOM 型、反射型、存储型）。

代码库和框架

• JQuery：简化 HTML 文档遍历、事件处理、动画和 Ajax 交互。
• Bootstrap：前端框架，用于开发响应式和移动优先的 Web 项目。
• Element UI：基于 Vue.js 的桌面端组件库。
• Vue：渐进式 JavaScript 框架。
• React：用于构建用户界面的 JavaScript 库。
• Angular：由 Google 维护的前端平台和应用框架。

后端语言

• PHP：广泛用于 Web 开发，可能存在反序列化、SQL 注入、命令注入等漏洞。
• Java：强类型语言，用于构建企业级应用。
• Python：多用途语言，用于 Web 开发（如 Django、Flask）。
• **Go (Golang)**：Google 开发的编程语言，用于构建高性能服务。
• **C/C+++**：系统级编程，也可以用于 Web 后端。
• Lua：轻量级脚本语言，常用于嵌入式脚本。
• Node.js：基于 Chrome V8 引擎的 JavaScript 运行环境。
• Ruby：用于 Web 开发的动态语言，如 Ruby on Rails。

数据库

• 关系型数据库：如 MySQL、PostgreSQL、SQL Server、Oracle、SQLite。
• 非关系型数据库：如 MongoDB、CouchDB、Neo4j、Redis。

服务器程序

• Apache：流行的 Web 服务器软件。
• Nginx：高性能的 HTTP 和反向代理服务器。
• **IIS (Internet Information Services)**：微软的 Web 服务器。
• Tengine：由淘宝网发起的 Web 服务器。
• Tomcat：Java Servlet 容器。
• WebLogic：Oracle 的企业级应用服务器。

潜在漏洞

• 信息泄露：敏感信息可能通过错误消息或日志泄露。
• XSS：跨站脚本攻击。
• **CSRF (Cross-Site Request Forgery)**：跨站请求伪造。
• **SSRF (Server-Side Request Forgery)**：服务器端请求伪造。
• 反序列化漏洞：不安全的反序列化可能导致远程代码执行。
• SQL 注入：通过注入恶意 SQL 语句来操纵数据库。
• 命令注入：在服务器端执行恶意命令。
• 服务端模板注入：在服务器端模板中注入恶意代码。
• 跨域漏洞：跨域资源共享（CORS）配置不当。
• 访问控制：不正确的权限检查可能导致未授权访问。

安全最佳实践

• 输入验证：对所有用户输入进行验证和清理。
• 输出编码：对输出到浏览器的内容进行编码，防止 XSS。
• 使用 HTTPS：保护数据传输过程中的安全性。
• 安全头：配置 HTTP 安全头，如 Content Security Policy (CSP)。
• 定期更新：保持软件和依赖项的最新状态。
• 安全审计：定期进行代码审查和安全测试。
• 错误处理：避免在生产环境中泄露错误细节。
• 访问控制：确保正确的权限和角色管理。

脚本语言

1. Lua：轻量级、高性能的脚本语言，广泛用于游戏开发和嵌入式系统。
2. PHP：主要用于服务器端的脚本语言，也是Web开发的重要语言之一。
3. **Go (Golang)**：由Google开发，适用于并发程序的编程语言，也可以用于编写脚本。
4. Python：多功能的编程语言，以其清晰的语法和强大的库而闻名，常用于脚本编写。
5. JavaScript：Web开发的核心语言，用于实现客户端的动态效果。

脚本性程序

• Node.js：基于Chrome V8引擎的JavaScript运行环境，允许JavaScript在服务器端运行。

宏病毒

• 宏病毒：利用Office应用程序（如Word、Excel、PowerPoint）的宏功能编写的恶意脚本，可以自动执行恶意操作。

系统脚本语言

1. **Batch (.bat)**：Windows操作系统中的批处理脚本，用于自动化简单的任务。
2. **PowerShell (.ps1)**：Windows PowerShell脚本，用于执行更复杂的任务和自动化。

特定领域脚本语言

1. **AutoLISP (LISP)**：用于CAD软件的脚本语言，可以自动化设计任务。
2. AutoLT3D：3D建模软件AutoCAD的脚本语言。

其他脚本语言

1. ActionScript：用于Adobe Flash的脚本语言。
2. AppleScript：苹果操作系统的脚本语言，用于自动化任务。

安全性考虑

• 恶意软件编写：任何编程语言都可能被用于编写恶意软件，包括脚本语言。这包括但不限于病毒、蠕虫、木马等。
• 宏病毒：通过Office宏功能传播的恶意脚本，可以导致数据泄露、系统损坏等。
• 脚本病毒：利用脚本语言编写的病毒，可能通过Web、电子邮件或其他方式传播。

防范措施

1. 安全意识：提高对恶意软件的警惕性，不随意执行未知来源的脚本或程序。
2. 软件更新：定期更新操作系统和应用程序，以修复已知的安全漏洞。
3. 防病毒软件：使用可靠的防病毒软件，定期扫描系统。
4. 宏安全设置：在Office中禁用或限制宏的执行，除非必要。
5. 代码审查：定期审查代码，特别是那些可能被公开访问的脚本和程序。

BIOS 病毒

• BIOS病毒：直接感染计算机的BIOS，这种病毒非常罕见，但一旦感染，很难清除。