这是我参与「第四届青训营 」笔记创作活动的的第1天。
XSS攻击
1. stored XSS(存储型)
恶意脚本被插入数据库,这种攻击会让所有访问该网址的用户都会被攻击到,用户的隐私可能会被泄露。
2. reflected XSS(反射型的XSS攻击)在服务器完成恶意脚本的注入
3. Dom Based XSS
不需要服务器的参与
恶意发起执行 全部在浏览器完成
相同的URL,但是执行环境发生了改变
4. Mutation-based XSS
利用浏览器渲染Dom的特性
不同浏览器会有区别
跨站伪造请求CSRF
1. 比如说 用户点击了一个恶意链接,在暗地里实际上是对银行请求转账的页面,并且验证通过,这样银行就会给转账,但给到用户页面上的始终没有向银行请求的任何信息,这就是一个,跨站伪造请求。最常见的就是get请求方式,
注入攻击
1. 读取请求字段,然后拼接成一个SQL语句去执行
Dos
1. 基于正则表达式的Dos
就是让服务器的响应时间长,接口吞吐量大大下降,为了达到这个目的,攻击者要引发回溯模式,传入一个不匹配的字符串,然后不匹配一次就减少一个。
DDos
1. 就是攻击者伪造很多僵尸用户来请求服务器,让服务器来不及响应,导致雪崩。
2. 特点是:直接访问IP,任意的API,消耗大量的带宽。
3. SYN floor:攻击者通过TCP向服务器请求,服务器响应,但攻击者没有给服务器反应,服务器就会不断响应,一直达到最大连接处,使得服务器不能接受新的请求。
机遇传输层的攻击
1. 中间人攻击,所有的传输都是明文传输,然后传输的东西被篡改了,服务器和浏览器双方都不知道,第三就是双方没有验证互相的身份,这就有了中间人攻击。
