🔒 网络安全#

网络安全技术分享，涵盖Web安全、系统安全、密码学等领域。

Web安全#

常见漏洞#

OWASP Top 10#

• 注入攻击 - SQL注入、NoSQL注入、命令注入
• 身份验证失效 - 弱口令、会话管理缺陷
• 敏感数据泄露 - 数据传输与存储安全
• XML外部实体攻击 (XXE) - XML解析漏洞
• 访问控制缺陷 - 权限绕过漏洞
• 安全配置错误 - 默认配置、错误权限
• 跨站脚本攻击 (XSS) - 反射型、存储型、DOM型
• 不安全反序列化 - 对象注入攻击
• 组件漏洞 - 第三方库安全问题
• 日志监控不足 - 安全事件检测缺失

前端安全#

• XSS防护 - 输入验证、输出编码、CSP
• CSRF防护 - Token验证、SameSite Cookie
• 点击劫持 - X-Frame-Options、iframe安全

安全开发#

安全编码#

• 输入验证 - 白名单、正则表达式
• 输出编码 - HTML编码、URL编码
• 参数化查询 - 预编译语句
• 权限控制 - 最小权限原则、访问控制矩阵

安全测试#

• 静态代码分析 - SonarQube、CodeQL
• 动态应用测试 - OWASP ZAP、Burp Suite
• 依赖漏洞扫描 - Snyk、npm audit

系统安全#

操作系统安全#

• 权限管理 - 用户权限、文件权限
• 系统加固 - 服务最小化、补丁管理
• 日志审计 - 系统日志、安全事件

网络安全#

• 防火墙配置 - iptables、云安全组
• 入侵检测 - IDS/IPS系统
• 网络监控 - 流量分析、异常检测

密码学#

加密算法#

• 对称加密 - AES、DES、3DES
• 非对称加密 - RSA、ECC
• 哈希算法 - SHA-256、MD5、bcrypt
• 数字签名 - RSA签名、ECDSA

应用场景#

• HTTPS/TLS - 传输层安全
• JWT - JSON Web Token
• 数字证书 - PKI体系
• 区块链加密 - 椭圆曲线加密

安全工具#

渗透测试工具#

• Kali Linux - 渗透测试发行版
• Metasploit - 漏洞利用框架
• Nmap - 网络扫描工具
• Wireshark - 网络协议分析器

代码安全工具#

• Bandit - Python安全检查
• ESLint Security - JavaScript安全规则
• Semgrep - 静态分析工具