白帽子讲 Web 安全


第一章

SQL注入

SQL Injection。
把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

这个注入,就是插入代码的意思。

XSS攻击


参考百科


Cross Site Scripting, 跨站脚本攻击,缩写为CSS.

但容易与层叠样式表Cascading Style Sheets, CSS,混淆于是缩写为XSS。

其原理是利用网页开发时留下的漏洞,注入恶意指令代码到网页,使用户加载并执行。

安全本质

安全检查,信任域,信任边界。

安全的本质是信任的问题。

对条件的信任程度,是确定对象是否安全的基础。

银弹

只能用银弹(银质子弹)才能消灭狼人。

0day漏洞

指那些没有被公开过,因而也没有补丁的漏洞。

早期表示在软件发行后24小时内就出现破解版本。

现在的引申含义,只要是在软件或者其他东西发布后,在最短时间内出现相关破解的,都可以叫0day。

Pwn2own


参考百科


Pwn2own是全世界最著名、奖金最丰厚的黑客大赛。

安全三要素

CIA, Confidentiality Integrity Availability. 机密性, 完整性, 可用性。

数字签名

DoS攻击

Denial of Service, 拒绝服务攻击。破坏安全的可用性。

一种远程攻击的形式。

是一种常用来使服务器或网络瘫痪的网络攻击手段。

DDoS, Distributed Denial Service, 分布式拒绝服务攻击,或称洪水攻击。

其利用网络上已被攻陷的电脑作为“僵尸”,向某一特定的目标电脑发动密集式的“拒绝服务”要求,用以把目标电脑的网络资源及系统资源耗尽,使之无法向真正正常请求的用户提供服务。


白帽子讲 Web 安全
http://example.com/2022/08/25/白帽子讲 Web 安全/
作者
Jie
发布于
2022年8月25日
许可协议