本文介绍了OWASP十大安全漏洞,包括注入、失效的身份认证和会话管理、跨站XSS、不安全的对象直接引用、伪造跨站请求(CSRF)、安全配置错误、功能级访问控制缺失、未验证的重定向和转发、组件已知脆弱性及敏感信息暴露。同时,文章列举了如DDoS、蠕虫、IP欺骗等常见面试术语,详细阐述了各漏洞的防范措施。
新人路过,发布下我觉得还行的
大佬就不要喷了~~~~~~
常用术语(面试也会考到)
ddos:分布式拒绝服务攻击 不同位置的多个攻击者同时向一个或数个目标发动攻击 或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对 受害者同时实施攻击(攻击者可以有多个)
worm:一般解释为蠕虫 蠕虫是一种通过网络传播的主动攻击的恶性计算机病毒
ip spoof:IP地址欺骗 一台主机设备冒充另外一台主机的IP地址,与其它设备通信,从而达到 某种目的技术
SYN Flood:即dos(拒绝服务攻击) 是DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用 TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击 方资源耗尽(CPU满负荷或内存不足)的攻击方式
Brute Attack:蛮力攻击,穷举攻击或叫暴力破解 是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止
social engineering:社会工程学 非技术类入侵的术语,它多依赖于人类互动且通常涉及到欺骗其 他人来破坏正常的安全程序
Honeybot:蜜罐技术 一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者 信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了 解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了 解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护 能力
ShellCode:一段用于利用软件漏洞而执行的代码 shellcode常常使用机器语言编写。 可在暂存器eip溢出后ÿ
最低0.47元/天 解锁文章
1046
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
