这是我参与「第四届青训营 」笔记创作活动的第五天
1. 认识web安全
web安全其实就在我们的身边,这是每一个程序员绕不开的话题,对企业而言,web安全会损害企业的利益,对我们个人而言,会导致我们失去工作,所以需要有一个基本的web安全知识
2. web安全之--攻击
2.1 xss脚本攻击
xss攻击就是用户在访问页面的时候把一些恶意的脚本注入进来
原理
特点
- 通常很难从ui上感知(悄悄地执行)
- 会窃取用户的信息(cookie/token)
- 绘制ui(例如弹窗等),诱骗用户进行点击/提交表单
> stored xss
- 恶意脚本存在数据库中
- 访问页面-读数据===被攻击
- 危害非常大,并且是对全部用户都可见
> reflected xss
- 不涉及数据库
- 从url上进行攻击
> reflected xss
- 不需要服务器的参与
- 恶意攻击的发起+执行 全部都在浏览器端完成
> mutation-base xss
- 利用了浏览器渲染dom的特性(针对性优化攻击)
- 不同的浏览器会有区别(按照浏览器进行攻击)
2.2 CSRF
特点
- 在用户不知情的前提下
- 利用用户权限(cookie)
- 构造指定HTTP请求,窃取或者修改用户敏感信息
2.3 SQL注入
通过sql注入进行数据库的crud从而进行攻击
2.4 DOS
通过某种方式(构造特定的请求),导致服务器资源被显著消耗,来不及响应跟你更多的请求,导致请求被挤压,进而引发雪崩效应
这里再多去学习一下“正则表达式”!!!
> redos 基于正则表达式的dos
> ddos
短时间内,来自大量僵尸设备的请求流量,导致服务器不能及时响应完成全部的请求,就会导致请求堆积,进而引发雪崩效应,无法响应新的请求(这个听的最多)
