Web 漏洞挖掘实战
王昊天
螣龙安科 CEO 兼创始人
14867 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 44 讲
课前必读 (2讲)
开篇词|从黑客的视角找漏洞,从安全的角度优雅coding
时长 11:09
导读|解读OWASP Top10 2021
时长 15:20
失效的访问控制 (5讲)
01|失效的访问控制:攻击者如何获取其他用户信息?
时长 14:43
02|路径穿越:你的Web应用系统成了攻击者的资源管理器?
时长 09:58
03 | 敏感数据泄露:攻击者如何获取用户账户?
时长 10:42
04|权限不合理:攻击者进来就是root权限?
时长 10:45
05|CSRF:为什么用户的操作他自己不承认?
时长 15:44
加密失败 (7讲)
06|加密失败:使用了加密算法也会被破解吗?
时长 12:55
07|弱编码:程序之间的沟通语言安全吗?
时长 16:40
08|数字证书:攻击者可以伪造证书吗?
时长 12:03
09|密码算法问题:数学知识如何提高代码可靠性?
时长 17:33
10|弱随机数生成器:攻击者如何预测随机数?
时长 16:32
11|忘记加“盐”:加密结果强度不够吗?
时长 17:57
大咖助场|数字证书,困境与未来
时长 09:51
注入 (13讲)
12|注入(上):SQL注入起手式
时长 10:52
13|注入(下):SQL注入技战法及相关安全实践
时长 15:50
14|自动化注入神器(一):sqlmap的设计思路解析
时长 10:48
15|自动化注入神器(二):sqlmap的设计架构解析
时长 08:51
16|自动化注入神器(三):sqlmap的核心实现拆解
时长 06:46
17|自动化注入神器(四):sqlmap的核心功能解析
时长 08:04
18 | 命令注入:开发的Web应用为什么成为了攻击者的bash?
时长 13:33
19 | 失效的输入检测(上):攻击者有哪些绕过方案?
时长 11:26
20 | 失效的输入检测(下):攻击者有哪些绕过方案?
时长 15:28
21|XSS(上):前端攻防的主战场
时长 11:31
22|XSS(中):跨站脚本攻击的危害性
时长 10:16
23|XSS(下):检测与防御方案解析
时长 09:26
24|资源注入:攻击方式为什么会升级?
时长 10:10
春节特别策划 (3讲)
春节策划(一)| 视频课内容精选:Web渗透测试工具教学
时长 02:54
春节策划(二) | 给你推荐4本Web安全图书
时长 05:15
春节策划(三) | 一套测试题,看看对课程内容的掌握情况
时长 00:45
不安全的设计 (3讲)
25|业务逻辑漏洞:好的开始是成功的一半
时长 08:24
26|包含敏感信息的报错:将安全开发标准应用到项目中
时长 10:02
27|用户账户安全:账户安全体系设计方案与实践
时长 13:51
安全配置错误 (3讲)
28|安全配置错误:安全问题不只是代码安全
时长 12:41
29|Session与Cookie:账户体系的安全设计原理
时长 09:40
30|HTTP Header安全标志:协议级别的安全支持
时长 11:08
其他安全风险串讲 (3讲)
31|易受攻击和过时的组件:DevSecOps与依赖项安全检查
时长 09:55
32|软件和数据完整性故障:SolarWinds事件的幕后⿊⼿
时长 09:52
33|SSRF:穿越边界防护的利刃
时长 10:45
综合实战篇 (3讲)
34|Crawler VS Fuzzing:DAST与机器学习
时长 09:54
35|自动化攻防:低代码驱动的渗透工具积累
时长 10:27
36|智能攻防:构建个性化攻防平台
时长 12:33
结束语 (2讲)
结束语|无畏前行
时长 06:08
期末测试|来赴一场满分之约吧!
时长 00:29
Web 漏洞挖掘实战
15
15
1.0x
00:00/00:00
登录|注册

31|易受攻击和过时的组件:DevSecOps与依赖项安全检查

王昊天
你好,我是王昊天。
不知道你是否听说过木桶效应?我们可以看下图这个木桶,假设它的底面为一整块木板,桶身由 15 块木板组成。现在,我们需要用这个木桶装尽可能多的水,显而易见,它能装水的数量仅与木板中高度最低的相关。
其实对于 Web 应用的安全性来说,木桶效应同样有效。假设我们的 Web 应用运用了多个组件,例如 Struts、Apache,那么它的安全强度也是由这些组件中最脆弱的一个所决定。所以在我们开发一个 Web 应用时,需要确保每一个组件都不存在已知的安全问题。
那么这节课,就让我们一起学习下 Web 应用中组件的安全问题吧。

易受攻击和过时的组件

首先,我们需要了解 Web 应用中具有哪些组件。
通常来讲,Web 应用一般都包含三个基础组件,Web 应用服务组件、Web 数据库组件以及 Web 客户端浏览器组件。其中,我们很容易知道 Web 应用服务器是用于运行 Web 应用的,Web 数据库服务器是用于给 Web 应用提供需要的数据,而 Web 客户端浏览器则可以用来展示 Web 应用返回的内容,同时决定用户与 Web 应用的交互方式。
其实上述三个基础组件本身,也是由多个组件所构成的,例如 Web 应用服务器可能会包含 Struts、Apache 应用等多个组件,而 Struts、Apache 内部也会包含很多组件。所以组件是一个很灵活的说法,你可以将它简单地理解为是一个独立功能单元
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

本文介绍了Web应用中易受攻击和过时的组件,以及相关的安全问题。首先,讨论了Web应用的基础组件,如Web应用服务组件、Web数据库组件和Web客户端浏览器组件。随着Web应用功能的复杂化,组件数量增加,给安全性带来威胁。具体介绍了Apache换行解析漏洞和Struts2远程代码执行漏洞的原理和影响版本,并通过实战演示了其威力。文章通过实例生动地展示了组件安全问题的严重性,提醒开发者在开发Web应用时需注意组件的安全性,避免使用存在漏洞的版本。另外,介绍了如何通过DevSecOps方式开发Web应用,对所用的组件及依赖项进行及时的检测,以保护Web应用的安全性。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《Web 漏洞挖掘实战》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
导读|解读OWASP Top10 2021
01|失效的访问控制:攻击者如何获取其他用户信息?
03 | 敏感数据泄露:攻击者如何获取用户账户?
07|弱编码:程序之间的沟通语言安全吗?
21|XSS(上):前端攻防的主战场
28|安全配置错误:安全问题不只是代码安全
登录 后留言

全部留言(3)

  • 最新
  • 精选
  • leslie
    Sec处于Dev和Ops的全生命周期
    2022-03-07
    1
  • ifelse
    学习打卡
    2023-03-31归属地:浙江
  • DoHer4S
    安全组件比如比较著名的: Apache Shiro - 关于Apache的Web安全组件(CVE-2020-17523) 漏洞大户: IIS, 基本上一搜一大堆。
    2022-03-08
收起评论
显示
设置
留言
3
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部