网易云Web安全工程师课程分享2——第二章 常见Web漏洞解析
2024-05-07 19:05:36
第一节 XSS漏洞
课程回顾
- 什么是XSS?
- XSS分类
- XSS演示
总结回答
- XSS: Cross Site Script,跨站脚本。 危害:盗取用户信息,钓鱼,制造蠕虫等。
XSS类型 | 方式 |
---|---|
存储型 | 将脚本存储在漏洞服务器中,受害者浏览页面就会执行恶意代码 |
反射型 | 访问携带XSS脚本的链接,触发XSS,解析参数输出到响应 |
DOM型 | 访问携带XSS脚本的链接,触发XSS,解析URL过程中执行恶意代码 |
- 略
学习拓展
初级
- 熟练掌握课程当中介绍的实例,读懂实例代码,根据课程当中介绍的知识点复现漏洞,并使用弹窗截图证明
- 了解并学习XSS漏洞的原理和常用测试方法,使用5个课堂当中没有讲解的测试脚本在课程测试环境当中进行测试,并利用弹窗截图进行证明
- 了解并学习常见的XSS漏洞类型,以及相应类型的特点和测试挖掘方法,并根据每种类型至少整理1-3个测试脚本 ,在课程环境进行测试
回答
- 略
- 参考网页
高级
- 搞懂每一个XSS测试脚本的意思和原理
参考链接 - 了解并学习XSS漏洞常用的过滤和绕过方法
参考链接 - 系统学习XSS漏洞相关知识
参考链接
第二节 CSRF漏洞
课程回顾
- CSRF是什么?
- CSRF原理
总结回答
- CSRF:Cross-site Request Forgery ,跨站请求伪造。可以执行恶意操作,蠕虫等。
- CSRF一般方法是在页面内插入一个恶意跳转页面,跳转页面内包含隐私页面的表单提交请求。
学习拓展
初级
- 深刻理解CSRF漏洞原理,至少列举5种在Web应用当中常见的漏洞场景
- 了解并熟悉一下CSRF的攻击脚本的构造和利用过程