这是我参与「第四届青训营 」笔记创作活动的第6天!今天学习了有关web安全攻击与防御的相关知识。笔记主要以图片呈现。第一次比较完整地接触web网络空间安全,学习有关知识,很有收获!
对今天所学知识点进行梳理和归纳: 首先,web安全分为两个方面hacker————攻击、开发者————防御
攻击:
- Cross-Site Scripting(XSS) 利用脚本嵌入
- 特点:
- 通常难以从UI上感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI(例如弹窗)诱骗用户点击/填写表单
- 类型:
- Stored XSS 存储型XSS(这是危害最大的)
- 恶意脚本被存在数据库中
- 访问页面————读数据————被攻击
- 危害最大,对所有用户可见
- Reflected XSS
- 不涉及数据库
- 从URL上攻击
- DOM-based XSS
- 不需要服务器的参与
- 恶意攻击的发起+执行全在浏览器完成
- Mutation-based XSS
- 利用了浏览器渲染DOM的特性(独特优化)
- 不同浏览器会有区别(按照浏览器进行攻击)
- Stored XSS 存储型XSS(这是危害最大的)
-
Cross-Site request forgery(CSRF)跨站伪造请求
- 在用户不知情的前提下
- 利用用户权限(cookie)
- 构造指定http请求,窃取或修改用户敏感信息
-
SQL Injection 注入攻击
-
Denial of Services(DoS)
-
ReDoS:基于正则表达式的DoS
-
中间人攻击
