通过在千锋360网络安全培训的学习,发现越来越对网络安全产生了浓厚的兴趣。在这一个月的学习中,最重要的体会是学习能力的提高,和学习方法的改变。学习一个知识时,不要要求自己每个知识点都学会,实际上你也不能把知识点完全掌握,因此有些部分学完之后不是很理解,就不要在这上面花太多时间,先把这个知识部分都学习一遍,就可以大致了解哪些是重点,哪些是难点,然后针对性的学习。
下面总结一下最近学习知识:常见的web攻击类型。
1、sql注入
由于程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。
2、XSS跨站脚本攻击有三种类型:
反射型:跨站代码一般存在于链接中,请求这样的链接时,跨站代码经过服务端反射回来,这类跨站的代码一般不存储到服务端
存储型:这是利用起来最方便的跨站类型,跨站代码存储于服务端(比如数据库中)
dom型:DOM的跨站,这是客户端脚本自身解析不正确导致的安全问题
3、CSRF
跨站点请求伪造,通常用来指web网站的这一类漏洞,即在某个恶意站点的页面上,促使访问者请求被攻击者的网站的某个 URL,从而达到改变服务器端数据的目的。
在页面中加入一个标签,浏览器就会发送一个请求,以获取其src属性引用的值攻击者将敏感操作的URI作为src 继承Cookie,以浏览者的身份作敏感访问并操作。
4、SSRF 服务器端请求伪造
利用web服务器需要向内网服务器请求资源时,未对目的ip进行限制的的漏洞。利用技巧有@符号,localhost,短地址,DNS解析等。
以上这些知识点,只是千锋360网络安全培训中一点而已,如果你想要了解学习更多网络安全培训的技术,那么不妨选择千锋360网络安全培训。
文章来源:互联网