01.Web基础知识
web工作流程
浏览器,DNS,服务器,资源解析(文档,图像,视频)
02.WEB安全基础
常见安全问题
xss:跨站脚本,恶意脚本
<span class="name">{{name}}</span>
name='星辰<script>alert('SB')</script>'
<span class="name">星辰<script>alert('SB')</script></span> #嵌入js代码
用户登录用的JS吧,读取资料用的JS吧,点击买东西、消费用的JS吧,查用户有多少钱用的JS吧,基于 Cookies 也可以读写吧。好的,你用JS能干的事情人家都能干。
csrf:跨站请求伪造,被转账,被垃圾评论
当一个用户登录我们的网站后,在 Cookies 中会存放用户的身份凭证。在大部分时候,就是一个 SessionId 。当用户下次访问我们的网站的时候,我们用这个凭证识别出用户是谁,有没有登录态。
<iframe name="test"></iframe>
<form target="test" method="post" action="http://www.toutou.com/haha">
...
</form> #点击悄悄发送请求咯
CSRF 之所以能够攻击成功,核心原因就在于用户的身份是放在 Cookies 中的,而不管你通过什么方式访问网站,都会带上这个网站的 Cookies ,从第三方来的访问自然也不能例外。
点击劫持:iframe标签,自己超链接
url跳转:引导进入诈骗网站
sql注入:获取用户请求,构造自己请求拼接,整个数据库数据
命令注入:
文件操作:上传下载,下载木马
03 WEB安全工具
代理工作原理:中介
工具:
04 WEB安全实战
05 WEB安全体系建设