这是我参与「第五届青训营 」笔记创作活动的第5天。
web安全概述
搭建一个Web应用不仅要考虑其功能与性能的完善性,更要考虑其安全性。Web应用搭建好以后,在暴露于外网的情况下是否是安全的。这个是我们开发者需要关注的重要问题。
web安全主流漏洞
- CSRF:跨站访问请求完全不同于XSS攻击。XSS攻击侧重于获取用户的权限及信息,而CSRF则是攻击者可伪造当前用户的行为,让目标服务器误以为请求由当前用户发起,并利用当前用户权限实现业务请求伪造。
- XSS: XSS攻击(跨站脚本攻击的简称)是指攻击者利用网站程序对用户输入过滤不足的缺陷,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。其英文全称为Cross Site Scripting,原本缩写应当是CSS,但为了和层叠样式表有所区分,安全专家们通常将其缩写成XSS。
- sql注入:SQL注入是指攻击者通过把恶意SQL命令插入到Web表单的输入域或页面请求的查询字符串中,并且插入的恶意SQL命令会导致原有SQL语句作用发生改变,从而达到欺骗服务器执行恶意的SQL命令的一种攻击方式。
- SSRF:服务器请求伪造漏洞由攻击者构造形成,并由服务器发起请求的一类计算机安全漏洞。服务器请求伪造漏洞攻击的主要目标是从外网无法访问的内网系统,正是因为它是由服务器发起的,所以能够请求到与它相连而与外网隔离的内网系统。简而言之,服务器请求伪造漏洞攻击是通过篡改获取资源的请求发送给内部服务器实现的,但是内部服务器并未判断这个请求是否合法就以它的身份来访问其他内部服务器的资源。
总结
在这个互联网兴起的时代,我们开发者要时刻防范受到广泛“IT狂热者”的攻击。首先我们要了解攻击手段才能够更好的做好防御,这些都是我们需要学习的。
