漏洞防御以及概念

注意概念:

内容分发网络(CDN):一个托管的、地理分布的服务器网络,它可以改善网站的文件传输和性能。它还包含了诸如DDoS保护之类的安全特性。

持续威胁管理:基于预防技术的适应性和预见性防御,为及时的事件反应做好准备。

跨站点请求伪造(CSRF):一个恶意的web攻击,一个攻击程序迫使一个用户的浏览器在一个用户当前身份验证的站点上执行不需要的操作。

跨站点脚本(XSS):通过客户端脚本攻击应用程序的一种类型的注入攻击,通常是JavaScript。

加密货币:一种加密的数字交换,其加密技术被用作一种方法,以确保被监管和验证的安全交易发生。

网络安全:一种旨在保护计算机、数据和网络免受潜在攻击或未经授权的访问的实践。

注入攻击:攻击者将恶意代码通过应用程序传递到另一个系统,以恶意操纵应用程序。这些攻击可以通过系统调用、通过shell命令的外部程序或通过查询语言(SQL)注入的数据库来攻击操作系统。

安全套接字层(SSL):一种加密的链接,它可以作为一种保护信息安全的手段,它可以在web服务器和私有浏览器之间传递。

安全设计:安全在SDLC开始时集成。

单点登录(SSO):用户或会话身份验证过程,允许用户输入一组凭证,以便访问由SSO软件连接的多个应用程序。

SQL注入:一种代码注入技术,用于攻击数据驱动的应用程序,在该应用程序中,将邪恶的SQL语句插入到一个输入字段中,以便执行。

软件开发中的安全主题常常对不同的团队有许多不同的含义。为了帮助解答围绕安全性的问题和困惑,DZone的Editorial团队编制了一份读者应该知道的与安全相关的最重要的术语列表。

A

异常检测:人工智能和深度学习具有检测异常登录,网络内部移动或文件输出的能力。

应用程序安全性(AppSec):一个可以让专家专注于应用程序的安全设计方面,并且更加熟悉编程的IT领域。

身份验证:在请求访问系统中的资源时,确认用户身份的一种机制。当用户通过诸如密码之类的机制来确认身份时,通常会向用户授予访问令牌。

B

比特币:一种不受任何管理机构控制的数字货币(加密货币)。

区块链:一个大型的交易数据库,也被称为交易分类帐。

C

内容分发网络(CDN):一个托管的、地理分布的服务器网络,它可以改善网站的文件传输和性能。它还包含了诸如DDoS保护之类的安全特性。

持续威胁管理:基于预防技术的适应性和预见性防御,为及时的事件反应做好准备。

跨站点请求伪造(CSRF):一个恶意的web攻击,一个攻击程序迫使一个用户的浏览器在一个用户当前身份验证的站点上执行不需要的操作。

跨站点脚本(XSS):通过客户端脚本攻击应用程序的一种类型的注入攻击,通常是JavaScript。

加密货币:一种加密的数字交换,其加密技术被用作一种方法,以确保被监管和验证的安全交易发生。

网络安全:一种旨在保护计算机、数据和网络免受潜在攻击或未经授权的访问的实践。

D

数据过滤:未经授权的数据传输。它可以手动执行,也可以通过一个恶意的自动化程序进行。

分散式自治组织(DAO):一个作为风险资本基金形式的组织。它通过智能合同运行,其交易记录保存在区块链中。

拒绝服务攻击(DDoS):一种类型的攻击,它使用多个受攻击的系统,这些系统被迫访问一个网站或系统,并使其带宽过载,从而导致停机。

DevSecOps:将安全性集成到DevOps方法中。

动态应用程序安全测试(DAST):对应用程序安全性的分析,它只监视运行时环境和在其中执行的代码。它模拟潜在的攻击,并分析结果。

E

加密:一种对数据进行编码的方法,使它对没有解密方法的各方来说是不可读的。

开发:利用计算机软件或硬件中的漏洞来产生不良行为的一段代码。

I

注入攻击:攻击者将恶意代码通过应用程序传递到另一个系统,以恶意操纵应用程序。这些攻击可以通过系统调用、通过shell命令的外部程序或通过查询语言(SQL)注入的数据库来攻击操作系统。

**交互式应用程序安全测试(IAST):**SAST和DAST的组合,通常以代理的形式实现,该代理可以监视攻击并识别测试运行时环境中的漏洞。

M

恶意软件:指对计算机或程序造成伤害的软件。

O

混淆层:设计为在关键的代码部分提供高级别的保护。

开放的web应用程序安全项目(OWASP):一个由企业、教育组织和个人提供的在线社区,致力于为更广泛的开发社区提供web安全工具、资源、事件等等。

R

勒索软件:一种恶意软件,它会限制或阻止对受害者的系统的访问,直到支付赎金,通常是比特币这样的加密货币。

风险管理:根据公司或行业的情况,优先考虑最重要的事情。

运行时应用程序自我保护(RASP):一种内置在应用程序中的特性,可以自动检测和阻止攻击。

Reentrancy攻击:不受信任的代码重新输入契约并操纵状态的攻击。

S

安全套接字层(SSL):一种加密的链接,它可以作为一种保护信息安全的手段,它可以在web服务器和私有浏览器之间传递。

安全设计:安全在SDLC开始时集成。

单点登录(SSO):用户或会话身份验证过程,允许用户输入一组凭证,以便访问由SSO软件连接的多个应用程序。

SQL注入:一种代码注入技术,用于攻击数据驱动的应用程序,在该应用程序中,将邪恶的SQL语句插入到一个输入字段中,以便执行。

静态应用程序安全测试(SAST):对应用程序的安全性进行分析,查看应用程序的源代码、字节码或二进制代码,以确定是否有某些部件可以允许攻击者进行安全性行为。

T

威胁矢量:黑客(或破坏者)可以访问计算机或网络服务器的路径或方法,以便交付有效负载或恶意结果。

图灵完备:如果没有考虑到内存或运行时的限制,理论上可以解决任何计算问题。

W

Web应用程序防火墙(WAF):一个基于可定制规则监视、过滤和阻塞HTTP传输的设备或应用程序。

Z

零日:软件制造商或反病毒供应商目前所不知道的一个漏洞。它还引用了一段代码,允许攻击者利用一个零日漏洞。

时间: 2024-10-08 15:39:33

漏洞防御以及概念的相关文章

程序员常用的3大Web安全漏洞防御解决方案:XSS、CSRF及SQL注入(图文详解)

https://blog.csdn.net/ChenRui_yz/article/details/86489067 随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施.01 常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 程序员学架构mikechen优知02 XSS漏洞 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的

php之文件类型解析漏洞防御与攻击

php在处理文件上传时,经常可以用到下面几种方式来判断文件的类型 1.通过文件名后缀,不安全,非常容易欺骗2.通过mime判断,部分类型的文件通过修改文件后缀名,也可以欺骗服务器3.通过头字节判断文件类型,但是判断范围有限,比如docx/xlsx等新的文档,通过头信息判断时,其实是一个zip包 PHP通过读取文件头部两个字节判断文件真实类型及其应用示例 function checkFileType($fileName){ $file     = fopen($fileName, "rb"

(转)计算机漏洞安全相关的概念POC 、EXP 、VUL 、CVE 、0DAY

1.POC POC,Proof ofConcept,中文意思是“观点证明”.这个短语会在漏洞报告中使用,漏洞报告中的POC则是一段说明或者一个攻击的样例,使得读者能够确认这个漏洞是真实存在的.2.EXP EXP,Exploit,中文意思是“漏洞利用”.意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法.3.VUL VUL,Vulnerability的缩写,泛指漏洞.4.CVE漏洞编号 CVE 的英文全称是“Common Vulnerabil

文件上传漏洞防御

本来的上传(一波白名单和重新命名) Web中间件上传或(CMS上传) 升级 原文地址:https://www.cnblogs.com/lyxsalyd/p/12606948.html

DVWA系列之10 命令执行漏洞的挖掘与防御

通用的命令执行漏洞防御方法通常是使用两个函数:EscapeShellCmd和EscapeShellArg,下面分别来分析这两个函数. EscapeShellCmd()函数可以把一个字符串中所有可能瞒过Shell而去执行另外一个命令的字符转义,比如管道符(|).分号(;).重定向(>).从文件读入(<)等. 下面我们来测试一下这个函数是否管用,以low级别的命令执行漏洞为例,对应的网页文件为D:\AppServ\www\dvwa\vulnerabilities\exec\source\low.p

腾讯大牛亲授 Web 前后端漏洞分析与防御技巧

第1章 课程介绍介绍安全问题在web开发中的重要性,并对课程整体进行介绍1-1 Web安全课程介绍1-2 项目总览 第2章 环境搭建本章节我们会搭建项目所需要的环境2-1 环境搭建上2-2 环境搭建下 第3章 前端XSS系统介绍XSS攻击的原理.危害,以真实案例讲解XSS带来过的损失,最后以实战代码讲解如何防御XSS攻击3-1 XSS介绍3-2 XSS攻击类型3-3 HTML内容和属性转义3-4 JS转义3-5 富文本 上3-6 富文本 下3-7 CSP3-8 PHP-XSS 第4章 前端CSR

命令执行漏洞

0x01:命令执行漏洞简介 用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码 0x02:命令执行 VS 代码执行 命令执行漏洞: 直接调用操作系统命令 代码执行漏洞: 靠执行脚本代码调用操作系统命令 命令执行原理: 在操作系统中,"&.|.||"都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导

DVWA系列之9 high级别命令执行漏洞

将DVWA Security切换到high级别,在Command Execution中查看网页源码. 这里首先也是用stripslashes函数对获取到的IP地址进行了处理,主要是为了去掉转义后添加的斜杠,原因之前已经解释过,由于在high级别下会自动启用PHP的magic_quotes_gpc魔术引号,对所有的传值数据自动用addslashes()函数转义,所以需要用stripslashes()函数去除. 接下来使用了explode函数,以"."为分隔符将$target变量中的IP地

转---如何让前端更安全?——XSS攻击和防御详解

前言 平时很少关注安全这块的技术,曾经也买过一本<Web前端黑客技术揭秘>但至今还没翻过,尴尬.今天的早读文章由腾讯优测@小吉带来的分享. 正文从这开始~ 最近深入了解了一下XSS攻击.以前总浮浅的认为XSS防御仅仅只是输入过滤可能造成的XSS而已.然而这池子水深的很呐. XSS的类型 总体来说,XSS分三类,存储型XSS.反射型XSS.DOM-XSS. 存储型XSS 数据库中存有的存在XSS攻击的数据,返回给客户端.若数据未经过任何转义.被浏览器渲染.就可能导致XSS攻击: 反射型XSS 将