本章首先介绍了一些常见的Web攻击手段。
1.XSS攻击(Cross Sites Scripting),指跨站脚本攻击。攻击者在网页中嵌入恶意脚本程序,当用户打开该网页,恶意程序在浏览器执行,会盗取用户名密码,cookie,下载执行病毒木马程序,甚至是获取客户端admin权限等。
2.CSRF攻击(Cross Site Request Forgery),指跨站请求伪造。攻击者伪装成站点内受信任的用户进行恶意的发邮件,发短信,进行交易等,甚至盗取你的账号。
3.SQL注入攻击。通过把SQL命令伪装成正常的HTTP的请求参数,传递到服务端,欺骗服务器执行恶意的SQL命令,最常见的就是登陆欺骗。
4.文件上传漏洞。攻击者将文件伪装成正常类型引导用户进行执行。
5.DDoS。分布式拒绝服务攻击。占用过多资源使服务器瘫痪。可以了解一下SYN Flood,DNS Query Flood,CC攻击。
常用的安全算法
1.数字摘要,也称消息摘要。
2.对称加密算法。
3.AES算法。
4.非对称加密算法。
5.数字签名。
6.数字证书。
摘要认证,
签名认证,
HTTPS协议