这是我参与「第四届青训营 」笔记创作活动的的第5天。
课程概述
从攻击、防御两个视角,简要介绍前端范畴内常见的安全问题,包括 XSS、CSRF、SQL 注入、DOS 等。
XSS 的一些特点
通常难以从UI上感知(暗地执行脚本) 窃取用户信息(cookie/token) 绘制UI(例如弹窗),诱骗用户点击/填写表单
Reflected xSS 不涉及数据库 从URL上攻击
CSRF
在用户不知情的前提下利用用户权限(cookie) 构造指定HTTP请求,窃取或修改用户敏感信息
DDoS 攻击
DDoS 攻击是通过连接互联网的计算机网络进行的。分布式拒绝服务(DDoS)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。
这些网络由计算机和其他设备(例如 IoT 设备)组成,它们感染了恶意软件,从而被攻击者远程控制。这些个体设备称为机器人(或僵尸),一组机器人则称为僵尸网络。当僵尸网络将受害者的服务器或网络作为目标时,每个机器人会将请求发送到目标的 IP 地址,这可能导致服务器或网络不堪重负,从而造成对正常流量的拒绝服务。
如何识别 DDoS 攻击
DDoS 攻击最明显的症状是网站或服务突然变慢或不可用。但是,造成类似性能问题的原因有多种(如合法流量激增),因此通常需要进一步调查。流量分析工具可以帮助您发现 DDoS 攻击的一些明显迹象:
常见的 DDoS 攻击有哪几类?
不同类型的 DDoS 攻击针对不同的网络连接组件。为了解不同的 DDoS 攻击如何运作,有必要知道网络连接是如何建立的。
参考
什么是分布式拒绝服务 (DDoS) 攻击? | Cloudflare
SameSite 那些事 | 怡红院落 (imnerd.org)
课件
课后个人总结: 本章由Web安全引入,编码格式、封装格式、多媒体元素、流媒体协议知识点不容易掌握,老师讲解的深入浅出,令我受益匪浅。
引用参考:课件与视频
