HTB 学习笔记 【中/英】《前端 vs. 后端》P3

HTB 学习笔记 【中/英】《前端 vs. 后端》P3

本文详细介绍了前端开发与后端开发的区别，以及相关的Web安全风险和OWASP Top 10漏洞。文章内容包括前端开发的定义、技术栈和关键点，后端开发的定义、核心组件和关键点，常见的Web安全风险和攻击方式，开发人员常见的安全错误，以及OWASP Top 10 Web安全漏洞。

前端（客户端）开发

• 前端是用户可见、可交互的部分，包括界面、按钮、文本、动画等。
• 主要使用HTML（结构）、CSS（样式）、JavaScript（功能）进行开发。
• 代码在浏览器中执行，需适配不同设备、浏览器和屏幕尺寸。
• 前端优化不佳会导致网页卡顿、加载慢，影响用户体验。
• 其他前端任务：
• UI设计：创建视觉元素。
• UX设计：确保良好的用户体验。

关键点：前端负责用户体验（UI/UX），但前端代码也可能被攻击者利用进行漏洞利用（如 XSS）。

后端（服务器端）开发

• 负责处理业务逻辑、数据存储、用户身份验证、API 调用等核心功能。
• 代码运行在服务器上，用户无法直接访问后端代码。
• 后端的 4 个核心组件：
• 后端服务器：托管 Web 应用的硬件和操作系统（如 Linux、Windows）。
• Web 服务器：处理 HTTP 请求（如 Apache、Nginx、IIS）。
• 数据库：存储和检索数据（如 MySQL、PostgreSQL、MongoDB）。
• 开发框架：开发 Web 应用的工具（如 Laravel、Django、Express.js）。

关键点：后端是Web 应用的大脑，管理所有数据、权限和核心逻辑，但如果未正确保护，则容易成为攻击目标。

Web 安全风险与攻击方式

尽管后端代码不可见，但攻击者仍然可以通过漏洞进行攻击。常见的 Web 安全漏洞包括：

关键点：即使攻击者无法直接访问后端代码，他们仍可以通过输入漏洞、权限错误、配置问题等进行攻击。

常见的 Web 开发安全错误

许多漏洞的根本原因是开发人员的错误，以下是最常见的 20 个安全错误：

关键点：大多数安全问题源于开发人员的失误，而非代码本身的 bug。

OWASP Top 10 Web 安全漏洞

OWASP（开放 Web 应用安全项目）列出了 Web 应用最常见的 10 大安全漏洞：

关键点：OWASP Top 10 是渗透测试和 Web 安全测试的基础，必须掌握！

未来行动计划

• 理解前端和后端的区别，以及它们的安全风险。
• 熟悉常见 Web 漏洞及其攻击方式（如 SQLi、XSS）。
• 深入学习 OWASP Top 10，并掌握如何利用和修复这些漏洞。
• 在 Hack The Box、TryHackMe 或 DVWA 上进行实际渗透测试练习。

掌握Web 应用安全是成为高级渗透测试员的关键技能。如果你能发现、利用并修复 Web 漏洞，你将在网络安全行业占据极大优势！🔥🚀