Web开发安全|青训营笔记

这是我参与「第五届青训营 」伴学笔记创作活动的第十一天

课堂重点知识

1. web安全——攻击

2. web安全——防御

知识总结及实例

web安全——攻击

XSS攻击

• XSS主要利用： 盲目信任用户的提交的内容
• XSS的一些特点

• XSS攻击方式
  • 存储性 XSS
  • 反射性 XSS （在服务器端注入脚本）
  • 基于dom XSS （在浏览器端注入脚本）
  • 基于Mutation XSS

存储性XSS

反射性XSS

基于dom XSS

基于Mutation XSS

CSRF

• CSRF攻击特点

• CSRF demo

• CSRF常见方式
  • GET请求及表单请求

SQL注入攻击

• SQL注入 demo

DoS

• DoS模式
  • 基于正则表达式的DoS
  • DDOS

基于正则表达式的DoS

DDOS

#### 中间人攻击——传输层

web安全——防御

XSS

• 思路
• 现有工具

• 必须动态生成dom
  • string->DOM （对string进行转义）
  • 上传svg （对svg文件进行扫描）
  • 尽量不要做让用户自定义行为（必须要做应过滤）

CSP

设置方式

CSRF

• CSRF——同源策略

• CSRF——token

• CSRF——iframe

• CSRF——反模式

• SameSite Cookie

• 特例
• SameSite Cookie VS CORS

注入相关

• 防御原则

Dos

DDoS

传输层——中间人攻击

• HTTPS特性

个人总结

明确web安全的相关内容，对相关攻击方式进行了解并且进行相关防御。

• 什么是分布式拒绝服务 (DDoS) 攻击？

• Safe DOM manipulation with the Sanitizer API

• Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP)

• github.com

• SameSite 那些事 | 怡红院落

• Amazon.com: Web Application Security: Exploitation and Countermeasures for Modern Web Applications: