Web开发安全-攻击篇 | 青训营笔记

小酒友
56 阅读1分钟

这是我参与「第五届青训营 」笔记创作活动的第11天

Cross-Site Scripting(XSS)跨站脚本攻击

image.png

image.png

  • 通常难以从UI上感知(暗地里执行脚本)
  • 窃取用户信息(cookie/token)
  • 绘制UI(例如弹窗),诱骗用户点击/填写表单 image.png image.png

Stored XSS

image.png

Reflected XSS

image.png image.png

DOM-based XSS

image.png image.png image.png

Mutation-based XSS

image.png

Cross-site request forgery(CSRF)跨站伪造请求

demo image.png CSRF--GET image.png

SQL Injection 注入

image.png demo image.png image.png demo2 读取+修改 image.png

SSRF demo image.png Denial of Service(DoS) 通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多的请求,导致请求挤压,进而雪崩效应。

插播:正则表达式——贪婪模式

image.png

ReDoS:基于正则表达式的DoS

image.png image.png image.png 洪泛攻击: image.png

avatar
文章
阅读
粉丝