![[赞]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_108.a6defc6.png)
获得徽章 9
- #挑战每日一条沸点#
Web 攻击技术
1、SQL 注入攻击:在 Web 应用的输入字段中注入恶意的 SQL 代码,从而欺骗数据库执行非法操作(绕过身份认证、操作数据等)。
2、OS 命令注入攻击:通过 Web 应用,注入恶意的操作系统命令,从而执行非法操作。(执行系统命令、操作文件等)。
3、XSS(跨站脚本攻击):将恶意脚本注入到 Web 应用中(窃取用户信息、恶意活动)。
4、CSRF(跨站点请求伪造):利用已验证身份的用户的会话,向 Web 应用发送恶意请求(更改密码、发送邮件等)。
5、HTTP 首部注入攻击:通过在响应首部字段内插入换行,添加任意响应首部或主体的一种攻击方式。
还有点击劫持、SSRF(服务器请求伪造)、XXE(XML 外部实体攻击)等攻击技术。 展开评论点赞 - #挑战每日一条沸点# HTTP 1.1 知识
加密方法:
1、共享密钥加密(对称密钥加密):加密和解密使用同一个密钥。
缺点:必须将密钥发送给对方,发送途中有可能被监听,导致密钥落入攻击者手中,而且也需要安全的保管接收到的密钥。(加密算法:AES、ChaCha20)
2、公开密钥加密(非对称密钥加密):使用一对非对称的密钥,私有密钥和公开密钥。发送密文的一方使用对方的公开密钥进行加密处理,对方收到密文后,再使用自己的私有密钥进行解密。(加密算法:RS、ECC)
数字证书:证明公开密钥的正确性(由数字证书认证机构颁发)![[赞]](//lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_108.a6defc6.png)
HTTPS 采用的是共享密钥加密和公开密钥加密两种并用的混合加密机制 展开评论点赞 - #挑战每日一条沸点# HTTP 1.1 知识
不安全的 HTTP:
1、通信使用明文(不加密),内容可能被窃听。(攻击者可以截获和窃听传输的数据,导致敏感信息的泄露)
如何避免:通信加密(组合使用 SSL 和 TLS 来加密 HTTP 的通信内容);内容加密(将 HTTP 报文里的内容进行加密处理,但是也有被篡改的风险)
2、不验证通信方的身份,有可能遭遇伪造。(攻击者可以伪造请求或响应,冒充他人进行恶意操作)
如何避免:证书(证明客户端和服务端是真实存在的)
3、无法证明报文的完整性,有可能已被篡改。(攻击者可以修改传输的内容,导致信息损坏或遭遇欺骗)
如何避免:消息摘要和数字签名所有的加在一起,其实就是 HTTPS 展开赞过
评论2 - #挑战每日一条沸点# HTTP 1.1 知识
HTTP 状态码(详细请看图):
一、1XX(信息性状态码,接收的请求正在处理)
二、2XX(成功状态码,请求正常处理完毕):200 OK、204 No Content(服务端不返回实体主体部分)、206 Partial Content(服务端返回指定范围的实体内容)
三、3XX(重定向状态):301 Moved Permanently(永久性重定向)、302 Found(临时性重定向)、304 Not Modified
四、4XX(客户端错误):400 Bad Request(请求语法错误)、401 Unauthorized(未认证)
五、5XX(服务端错误):500 Internal Server Error(服务端错误)、504 Gateway Timeout(请求网关超时)展开评论点赞 - #挑战每日一条沸点# HTTP 1.1 知识
HTTP 首部字段(响应首部字段 + 实体首部字段):
1、Server:服务器软件信息;Date:服务器响应时的日期和时间
2、E-Tag:响应实体的唯一标识符(用于缓存验证);Vary:代理服务器缓存服务(对含有相同 Vary 首部字段的请求返回缓存内容)
3、Location:指示客户端访问的新位置(302 重定向)
4、Retry-After:指示客户端应该多久之后再次发送请求
5、Content-Encoding、Content-Language、Content-Length、Content-Location、Content-Type、Content-Range:分别指定实体内容的编码方式、语言、长度(单位字节)、URI、MIME 类型和位置范围展开评论点赞 - #挑战每日一条沸点# HTTP 1.1 知识
HTTP 首部字段(请求首部字段):
1、Accept、Accept-Charset、Accept-Encoding、Accept-Language:分别指定客户端可以处理的 MIME 类型、字符集、内容编码、语言。
2、Authorization:客户端身份凭证(用于身份认证);Host:指定请求的目标主机和端口号
3、If-Match、If-None-Match:条件请求(与 ETag 值匹配/不匹配时才处理请求)
4、If-Modified-Since、If-Unmodified-Since:条件请求(资源自指定日期发生修改/未发生修改时才处理请求)
5、User-Agent:客户端相关信息(浏览器类型、版本号等)
6、Referer:引导用户发送请求的页面的 URL(请求来源)展开赞过 评论3
![[看]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_97.39cdc9f.png)