07http安全头部
1.User-Agent:用于区分设备类型,可用于识别和过滤异常访问。
2.Referer:显示请求来源页面,可能被用于伪造可信来源(如baidu.com),与302跳转漏洞结合可能造成安全风险。
08安全配置错误漏洞
1.系统与组件配置问题
未及时打补丁
典型案例:永恒之蓝利用SMB协议445端口溢出漏洞
风险:是未修补的漏洞可直接导致系统被入侵。
高危端口开放
数据库端口3306不应允许外网直接访问。
错误配置示例:为数据库允许外联(127.0.0.1)且使用弱密码。
2.框架与应用配置问题
使用含有已知漏洞的组件
Java生态常见漏洞组件:Tomcat、Spring、Fastjson、Log4j2、Shiro等。
风险:是旧版本漏洞可能直接导致权限被获取。
09漏洞报告与响应平台
1.国家级平台
CNVD(国家信息安全漏洞共享平台)
针对资产超过5000万的企业或关键基础设施,分为通用型漏洞和事件型漏洞,
2.企业级SRC平台
漏洞盒子、补天SRC、火线SRC、百度SRC、众安天下
3.教育行业专项
专门针对高校系统的漏洞报告平台
4.攻防演练活动
护网行动是国家级/省级/市级网络安全攻防演练漏洞报告平台。
10常见攻击面
1.认证缺陷
暴力破解
使用弱口令,存在密码复用问题,多个系统使用相同密码。
2.数据完整性失效风险
数据验证缺陷
数字签名缺失,关键数据未使用数字签名验证,允许伪造的cookie、session、 token或sign值。
存在未加密的敏感数据,如银行系统登录页面未加密,传输中或存储中的敏感数据未加密保护。
3.日志与监不足风险
日志管理缺陷
不足的日志记录,关键操作(登录、登录失败、高额交易)未完整记录,部分系统在成功登录日志中明文记录账号密码。
日志访问控制不当,睿户端可通过拼接API接口下载日志文件,日志文件中可能
包含敏感信息,且关键日志保存不得少于6个月。
API接口安全问题
存在敏感信息泄露,API响应中直接返回账号密码等凭证,未对敏感数据进行脱敏处理。
4.服务端请求伪造(SSRF)
攻击原理
利用信任关系,如C网站仅信任B网站,而B网站存在SSRF漏洞,攻击者A利用B
网站作为代理访问C网站的敏感数据。
攻击特征
利用服务器对内部网络的信任,绕过IP白名单等访问控制措施,可能导致内网探测、数据泄露等风险。
11 安全工具与设备
漏洞扫描设备
Xrav扫描器,轻量级漏洞扫描设备,可检测常见Web漏洞,常用于企业内网安全检测
其他漏洞扫描工具:awvs,goby,nessus。
12 api,jwt及cors相关知识
1.API
本质:帮不同程序传递数据(如微信调用地图API)。
不限于HTTP协议(也可以是FTP/SMTP等),常见叫法有Web API/JSONAPI(本质都是HTTP+数据交互)
2.JWT (JSoN Web令牌)
组成结构(三部分用,连接)
- Header(头):声明加密算法。
Json {"alg":"HS256","typ":"JWT"} - Payload(数据)
存用户信息(如ID、角色)。Json ["sub":"i23","name":"小明","admin":false} - Signature(签名)
防篡改的加密指纹。
核心用途
授权:登录后带令牌访问资源,
信息交换:可验证发件人身份(RSA签名),注意令牌内容可被读取。
工作流程
用户登录后服务器发卡(JWT),后续请求头带卡(Authorization:Bearer
xxxx.yyyy.zzzz),服务器验卡后开门放行。
使用原因
比XML令牌(如SAML)更短、更易解析,支持多种加密(HMAC/RSA)3.CORS(跨域资源共享)
浏览器默认禁止跨域请求(如a.com访问b.com)
解决方案
简单模式:允许GET/POST,但限制Cookie/自定义头
预检模式:先发OPTION问服务器,服务器同意后发真实请求。