这是我参与「第五届青训营 」伴学笔记创作活动的第13天。
一、视频课笔记:
1.本堂课重点内容:
从攻击、防御两个视角,简要介绍前端范畴内常见的安全问题,包括 XSS、CSRF、SQL 注入、DOS 等。
2.详细知识点介绍:
攻击篇:
- Cross-Site Scripting(XSS)
- XSS主要利用了什么
- XSS的一些特点
- XSS demo
- Stored XSS
- Reflected XSS demo
- DOM-based XSS
- Reflected vs DOM-based
- Cross-site request forgery
- CSRF demo:
- CSRF 的本质实际上是利用了 Cookie 会自动在请求中携带的特性,诱使用户在第三方站点发起请求的行为。除了文中说的一些解决方式之外,标准还专门为 Cookie 增加了
SameSite属性,用来规避该问题。
- CSRF 的本质实际上是利用了 Cookie 会自动在请求中携带的特性,诱使用户在第三方站点发起请求的行为。除了文中说的一些解决方式之外,标准还专门为 Cookie 增加了
- CSRF--GET
- SQL injection
- SSRF demo:
- 大多数公司会在内网中放置一些与公司相关的资料和关键数据,如果应用程序对用户提供的URL和远端服务器返回的信息没有进行合适的验证和过滤,就可能存在这种服务端请求伪造的缺陷,即 Server-Side Request Forgery,简称 SSRF。
- DEnial ofService
- 正则表达式———贪婪模式
- ReDos:基于正则表达式的DOS
- Logical DOS
- DDOS:
-
分布式拒绝服务(DDoS)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。
-
DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机,也可以包括其他联网资源
-
总体而言,DDoS 攻击好比高速公路发生交通堵塞,妨碍常规车辆抵达预定目的地。
-
- 中间人攻击
防御篇:
- XSS
- Same-origin Policy
- Content Security Policy
- CSP
- CSRF防御
- Samesite Cookie
- Logical Dos
- DDos
- HTTPS
- 防御中间人
三、个人思考与总结: 1.网络安全十分重要,关乎到个人财产和隐私,Web安全技术非常值得深入学习和掌握。
