通過在千鋒360網絡安全培訓的學習�����,發現越來越對網絡安全產生了濃厚的興趣�����。在這一個月的學習中,最重要的體會是學習能力的提高��,和學習方法的改變。學習一個知識時,不要要求自己每個知識點都學會��,實際上你也不能把知識點完全掌握�,因此有些部分學完之后不是很理解����,就不要在這上面花太多時間�,先把這個知識部分都學習一遍,就可以大致了解哪些是重點,哪些是難點,然后針對性的學習��。
下面總結一下最近學習知識:常見的web攻擊類型���。
1、sql注入
由于程序中對用戶輸入檢查不嚴格��,用戶可以提交一段數據庫查詢代碼,根據程序返回的結果�����,獲得某些他想得知的數據�����,這就是所謂的SQL Injection,即SQL注入�。對于輸入檢查不充分,導致SQL語句將用戶提交的非法數據當作語句的一部分來執行����。
2��、XSS跨站腳本攻擊有三種類型:
反射型:跨站代碼一般存在于鏈接中��,請求這樣的鏈接時����,跨站代碼經過服務端反射回來���,這類跨站的代碼一般不存儲到服務端
存儲型:這是利用起來最方便的跨站類型,跨站代碼存儲于服務端(比如數據庫中)
dom型:DOM的跨站�,這是客戶端腳本自身解析不正確導致的安全問題
3�、CSRF
跨站點請求偽造��,通常用來指web網站的這一類漏洞��,即在某個惡意站點的頁面上�����,促使訪問者請求被攻擊者的網站的某個 URL�,從而達到改變服務器端數據的目的。
在頁面中加入一個![]()
標簽�����,瀏覽器就會發送一個請求���,以獲取其src屬性引用的值攻擊者將敏感操作的URI作為src 繼承Cookie,以瀏覽者的身份作敏感訪問并操作。
4、SSRF 服務器端請求偽造
利用web服務器需要向內網服務器請求資源時,未對目的ip進行限制的的漏洞�����。利用技巧有@符號����,localhost,短地址���,DNS解析等��。
以上這些知識點�,只是千鋒360網絡安全培訓中一點而已����,如果你想要了解學習更多網絡安全培訓的技術���,那么不妨選擇千鋒360網絡安全培訓�。
移動安全網 報道:http://www.ydhacker.com/hotnews/2018/1116/111625QH018.html
HTML5
Java
Python
UI/UE設計
云計算
軟件測試
大數據
智能物聯網
Unity游戲開發
網絡安全
短視頻+直播電商
影視剪輯包裝
游戲原畫
區塊鏈
從0到1學開發
京公網安備 11010802030320號