通過在千鋒360網絡安全培訓的學習,發現越來越對網絡安全產生了濃厚的興趣。在這一個月的學習中,最重要的體會是學習能力的提高,和學習方法的改變。學習一個知識時,不要要求自己每個知識點都學會,實際上你也不能把知識點完全掌握,因此有些部分學完之后不是很理解,就不要在這上面花太多時間,先把這個知識部分都學習一遍,就可以大致了解哪些是重點,哪些是難點,然后針對性的學習。
下面總結一下最近學習知識:常見的web攻擊類型。
1、sql注入
由于程序中對用戶輸入檢查不嚴格,用戶可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得某些他想得知的數據,這就是所謂的SQL Injection,即SQL注入。對于輸入檢查不充分,導致SQL語句將用戶提交的非法數據當作語句的一部分來執行。
2、XSS跨站腳本攻擊有三種類型:
反射型:跨站代碼一般存在于鏈接中,請求這樣的鏈接時,跨站代碼經過服務端反射回來,這類跨站的代碼一般不存儲到服務端
存儲型:這是利用起來最方便的跨站類型,跨站代碼存儲于服務端(比如數據庫中)
dom型:DOM的跨站,這是客戶端腳本自身解析不正確導致的安全問題
3、CSRF
跨站點請求偽造,通常用來指web網站的這一類漏洞,即在某個惡意站點的頁面上,促使訪問者請求被攻擊者的網站的某個 URL,從而達到改變服務器端數據的目的。
在頁面中加入一個標簽,瀏覽器就會發送一個請求,以獲取其src屬性引用的值攻擊者將敏感操作的URI作為src 繼承Cookie,以瀏覽者的身份作敏感訪問并操作。
4、SSRF 服務器端請求偽造
利用web服務器需要向內網服務器請求資源時,未對目的ip進行限制的的漏洞。利用技巧有@符號,localhost,短地址,DNS解析等。
以上這些知識點,只是千鋒360網絡安全培訓中一點而已,如果你想要了解學習更多網絡安全培訓的技術,那么不妨選擇千鋒360網絡安全培訓。
移動安全網 報道:http://www.ydhacker.com/hotnews/2018/1116/111625QH018.html
相關文章
了解千鋒動態
關注千鋒教育服務號
掃一掃快速進入
千鋒移動端頁面
掃碼匿名提建議
直達CEO信箱