通過在千鋒360網絡安全培訓的學習���,發現越來越對網絡安全產生了濃厚的興趣����。在這一個月的學習中���,最重要的體會是學習能力的提高�����,和學習方法的改變。學習一個知識時���,不要要求自己每個知識點都學會,實際上你也不能把知識點完全掌握�,因此有些部分學完之后不是很理解�,就不要在這上面花太多時間���,先把這個知識部分都學習一遍����,就可以大致了解哪些是重點,哪些是難點���,然后針對性的學習。
下面總結一下最近學習知識:常見的web攻擊類型����。
1�����、sql注入
由于程序中對用戶輸入檢查不嚴格,用戶可以提交一段數據庫查詢代碼��,根據程序返回的結果�����,獲得某些他想得知的數據����,這就是所謂的SQL Injection�,即SQL注入���。對于輸入檢查不充分�,導致SQL語句將用戶提交的非法數據當作語句的一部分來執行。
2、XSS跨站腳本攻擊有三種類型:
反射型:跨站代碼一般存在于鏈接中����,請求這樣的鏈接時�����,跨站代碼經過服務端反射回來�����,這類跨站的代碼一般不存儲到服務端
存儲型:這是利用起來最方便的跨站類型,跨站代碼存儲于服務端(比如數據庫中)
dom型:DOM的跨站�����,這是客戶端腳本自身解析不正確導致的安全問題
3�����、CSRF
跨站點請求偽造���,通常用來指web網站的這一類漏洞�����,即在某個惡意站點的頁面上,促使訪問者請求被攻擊者的網站的某個 URL�����,從而達到改變服務器端數據的目的����。
在頁面中加入一個![]()
標簽�����,瀏覽器就會發送一個請求�����,以獲取其src屬性引用的值攻擊者將敏感操作的URI作為src 繼承Cookie,以瀏覽者的身份作敏感訪問并操作。
4���、SSRF 服務器端請求偽造
利用web服務器需要向內網服務器請求資源時,未對目的ip進行限制的的漏洞。利用技巧有@符號����,localhost,短地址���,DNS解析等���。
以上這些知識點��,只是千鋒360網絡安全培訓中一點而已,如果你想要了解學習更多網絡安全培訓的技術�����,那么不妨選擇千鋒360網絡安全培訓�。
移動安全網 報道:http://www.ydhacker.com/hotnews/2018/1116/111625QH018.html
HTML5
Java
Python
UI/UE設計
云計算
軟件測試
大數據
智能物聯網
Unity游戲開發
網絡安全
短視頻+直播電商
影視剪輯包裝
游戲原畫
區塊鏈
從0到1學開發
京公網安備 11010802030320號