HTB 學習筆記【中/英】《前端 vs. 后端》P3

📌 這篇文章講了什么？

介紹了 前端（客戶端） 和 后端（服務器端） 的區別。
解釋了 全棧開發（Full Stack Development），即前端+后端開發。
介紹了 前端和后端常用的技術。
討論了 常見的安全風險 以及 OWASP Top 10 漏洞。
列舉了 開發人員常犯的 20 個安全錯誤，導致 Web 應用存在漏洞。

💡 需要記住的重點

1. 前端（客戶端）開發

前端是用戶可見、可交互的部分，包括界面、按鈕、文本、動畫等。
主要使用 HTML（結構）、CSS（樣式）、JavaScript（功能） 進行開發。
代碼在 瀏覽器中執行，需適配不同設備、瀏覽器和屏幕尺寸。
前端優化不佳會導致網頁卡頓、加載慢，影響用戶體驗。

📌 關鍵點：前端負責 用戶體驗（UI/UX），但前端代碼也可能被攻擊者利用進行漏洞利用（如 XSS）。

2. 后端（服務器端）開發

負責 處理業務邏輯、數據存儲、用戶身份驗證、API 調用 等核心功能。
代碼運行在 服務器上，用戶無法直接訪問后端代碼。
后端的 4 個核心組件：

組件	描述
后端服務器	托管 Web 應用的硬件和操作系統（如 Linux、Windows）。
Web 服務器	處理 HTTP 請求（如 Apache、Nginx、IIS）。
數據庫	存儲和檢索數據（如 MySQL、PostgreSQL、MongoDB）。
開發框架	開發 Web 應用的工具（如 Laravel、Django、Express.js）。

📌 關鍵點：后端是 Web 應用的大腦，管理所有數據、權限和核心邏輯，但如果未正確保護，則容易成為攻擊目標。

3. Web 安全風險與攻擊方式

盡管后端代碼不可見，但攻擊者仍然可以通過漏洞進行攻擊。常見的 Web 安全漏洞包括：

攻擊類型	描述
SQL 注入（SQLi）	通過注入惡意 SQL 代碼來訪問或修改數據庫數據。
命令注入	利用輸入驗證漏洞執行服務器端操作系統命令。
本地文件包含（LFI）	讀取服務器上的敏感文件。
跨站腳本攻擊（XSS）	在網頁中插入惡意 JavaScript 代碼，竊取用戶數據。
訪問控制破壞（Broken Access Control）	越權訪問其他用戶數據或管理功能。

📌 關鍵點：即使攻擊者無法直接訪問后端代碼，他們仍可以通過 輸入漏洞、權限錯誤、配置問題 等進行攻擊。

4. 常見的 Web 開發安全錯誤

許多漏洞的根本原因是 開發人員的錯誤，以下是最常見的 20 個安全錯誤：

錯誤	描述
存儲明文密碼	不加密存儲密碼，容易被黑客盜取。
允許無效數據進入數據庫	可能導致 SQL 注入攻擊。
過度依賴客戶端驗證	攻擊者可以篡改前端數據繞過安全限制。
使用弱加密方法	易被破解，導致數據泄露。
硬編碼敏感數據	在代碼中寫死密碼、API Key 等，增加被盜風險。
配置錯誤 Web 防火墻（WAF）	允許未授權的請求繞過安全檢查。

📌 關鍵點：大多數安全問題源于 開發人員的失誤，而非代碼本身的 bug。

5. OWASP Top 10 Web 安全漏洞

OWASP（開放 Web 應用安全項目）列出了 Web 應用最常見的 10 大安全漏洞：

排名	漏洞	影響
1	訪問控制破壞	攻擊者可訪問未經授權的數據或功能。
2	加密失敗	不安全的數據存儲或傳輸導致數據泄露。
3	注入攻擊	SQL/命令注入可導致服務器被入侵。
4	不安全的設計	設計缺陷導致安全風險。
5	錯誤的安全配置	默認密碼、開放端口等問題使得攻擊更容易。
6	使用過時或漏洞組件	舊版本軟件存在已知安全漏洞。
7	身份驗證失敗	弱密碼或認證邏輯錯誤導致賬戶被盜。
8	軟件和數據完整性失敗	未驗證軟件更新或篡改數據導致惡意代碼執行。
9	日志記錄和監控失敗	監控不足，使攻擊無法被檢測到。
10	服務器端請求偽造（SSRF）	服務器被攻擊者利用去訪問內部網絡資源。

📌 關鍵點：OWASP Top 10 是滲透測試和 Web 安全測試的基礎，必須掌握！

🚫 不需要重點關注的內容

? 前端和后端編程語言的詳細語法（我們關注安全，而不是開發）。
? 所有開發框架的具體使用方式（了解它們的作用即可）。
? Web 服務器（如 Apache、Nginx）的詳細配置（除非你專注于 Web 服務器安全）。

? 未來行動計劃

? 理解前端和后端的區別，以及它們的安全風險。
? 熟悉常見 Web 漏洞及其攻擊方式（如 SQLi、XSS）。
? 深入學習 OWASP Top 10，并掌握如何利用和修復這些漏洞。
? 在 Hack The Box、TryHackMe 或 DVWA 上進行實際滲透測試練習。

掌握 Web 應用安全 是成為 高級滲透測試員 的關鍵技能。如果你能發現、利用并修復 Web 漏洞，你將在網絡安全行業占據極大優勢！🔥🚀

Summary and Notes on "Front End vs. Back End"

📌 What Is This About?

Explains the difference between Front End (Client-Side) and Back End (Server-Side) development.
Discusses Full Stack Development, which includes both front-end and back-end.
Covers common technologies used in front-end and back-end development.
Introduces common security risks and the OWASP Top 10 vulnerabilities related to web applications.
Highlights 20 common web developer mistakes that lead to security issues.

💡 Key Points to Memorize

1. Front End (Client-Side) Development

Everything users see and interact with in a web application.
Built with HTML (structure), CSS (design), JavaScript (functionality).
Runs in the browser and must be optimized for different devices, browsers, and screen sizes.
Poorly optimized front-end code can cause slow and unresponsive web applications.
Other front-end tasks:
- UI Design: Creating visual elements.
- UX Design: Ensuring a good user experience.

📌 Key Takeaway: The front end is the visible and interactive part of a web application, responsible for user experience.

2. Back End (Server-Side) Development

Handles the core functionalities of a web application.
Runs on a server, processes requests, and interacts with databases.
Users do not directly see or interact with back-end components.

Component	Description
Back-End Server	The hardware and OS (Linux, Windows) that hosts the web app.
Web Server	Handles HTTP requests (e.g., Apache, NGINX, IIS).
Database	Stores and retrieves data (e.g., MySQL, PostgreSQL, MongoDB).
Development Frameworks	Tools to build back-end applications (e.g., Laravel, Django, Express.js).

Back-end security is crucial since poorly secured servers and databases can lead to major breaches.
Common back-end tasks:
- Implementing business logic.
- Managing databases and storing data securely.
- Developing APIs for front-end communication.
- Securing user authentication and access control.

📌 Key Takeaway: The back end is the invisible but essential part of a web application, handling data, logic, and security.

3. Common Security Risks in Web Development

Even if users cannot see the back-end code, it can still be vulnerable to attacks. Common web security flaws include:

Attack Type	Description
SQL Injection	Injecting malicious SQL queries to access or modify the database.
Command Injection	Exploiting poorly validated input to execute system commands.
Local File Inclusion (LFI)	Exploiting file inclusion vulnerabilities to access sensitive files.
Cross-Site Scripting (XSS)	Injecting malicious scripts into web pages to steal user data.
Broken Access Control	Exploiting access control flaws to gain unauthorized privileges.

📌 Key Takeaway: Even if we don’t see the back-end code, it can still be exploited through injections, misconfigurations, and poor validation.

4.?Common Web Developer Mistakes That Lead to Security Issues

Many vulnerabilities arise because of bad coding practices. Common mistakes include:

Mistake	Description
Storing passwords in plaintext	No encryption makes it easy for attackers to steal credentials.
Allowing invalid data in databases	Poor validation can lead to SQL injection.
Relying too much on client-side security	Attackers can bypass front-end protections using browser tools.
Using weak cryptographic methods	Poor encryption can be easily cracked.
Hardcoding sensitive data	Storing credentials in source code increases risk.
Misconfiguring Web Application Firewalls (WAF)	Leaving firewalls poorly configured allows attacks to bypass security.

📌 Key Takeaway: Many security issues are caused by bad development practices, not just bugs.

5. The OWASP Top 10 Web Application Vulnerabilities

These are the most critical security risks in web applications:

No.	Vulnerability	Impact
1	Broken Access Control	Attackers can access unauthorized resources.
2	Cryptographic Failures	Poor encryption leads to data leaks.
3	Injection Attacks	SQL/Command injection can allow full system compromise.
4	Insecure Design	Flaws in architecture make the app inherently weak.
5	Security Misconfiguration	Default credentials, open ports, or weak settings make attacks easier.
6	Vulnerable and Outdated Components	Using old libraries or software introduces known security holes.
7	Authentication Failures	Weak login security leads to account takeovers.
8	Software and Data Integrity Failures	Unverified software updates or modifications allow malicious code execution.
9	Security Logging and Monitoring Failures	Lack of monitoring allows attacks to go unnoticed.
10	Server-Side Request Forgery (SSRF)	Attackers force the server to make requests on their behalf.

📌 Key Takeaway: The OWASP Top 10 is a must-know for penetration testers. These vulnerabilities appear in most real-world applications.

🚫 What You Don’t Need to Focus On Too Much

? Learning how to code front-end/back-end from scratch (this is about security, not development).
? Memorizing all development frameworks (just understand the general role of frameworks).
? Overly detailed server configurations (you’ll learn security configurations when needed).

? Next Steps & Action Plan

? Understand the key differences between front-end and back-end development.
? Familiarize yourself with common security risks and vulnerabilities.
? Start practicing web penetration testing techniques (e.g., SQL injection, XSS).
? Learn the OWASP Top 10 vulnerabilities and how to exploit/mitigate them.
? Perform hands-on practice on platforms like Hack The Box, TryHackMe, or DVWA.

Understanding the fundamentals of front-end and back-end security is crucial for becoming a skilled penetration tester. Mastering these concepts will help you identify, exploit, and secure web applications like a pro! 🚀