这是我参与「第五届青训营 」伴学笔记创作活动的第十二天
课程重点
从攻击、防御两个视角,简要介绍前端范畴内常见的安全问题,包括 XSS、CSRF、SQL 注入、DOS 等。
详细知识点介绍
web安全一窥
攻击篇
cross-site scripting(xss)
xss的一些特点
- 通常难以从ui上感知(暗自执行脚本)
- 窃取用户信息(cookie/token)
- 绘制ui(例如弹窗),诱骗用户点击/填写表单
xss demo
stored xss
reflected xss
reflected xss demo
dom-based xss
dom-based xss demo
reflected vs dom-based
Mutation-based xss
cross-site request forgery(csrf)
csrf demo
get
beyond get
injection
sql injection
demo
injection 不止于sql
demo
ssrf
demo
denial of service(dos)
正则表达式-贪婪模式
redos:基于正则表达式的dos
logical dos
logical dos demo
distributed dos(ddos)
ddos 攻击特点
ddos demo
传输层
中间人攻击
防御篇
xss
现成工具
