Web安全攻防知识点你了解吗？老男孩Web安全培训班

　　众所周知，网络安全无论对企业还是对个人，都起着至关重要的作用，因此强化网络安全意识、提高风险防范能力是我们每个人的责任与义务，老男孩教育小编今天总结一下Web相关的安全攻防知识，希望对你有帮助，请看下文：

　　| XSS |

　　最常见的就是XSS漏洞了，也可以被称为跨站脚本攻击，原理是恶意攻击者往Web页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中Web里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

　　XSS的攻击方式千变万化，但还是可以大致细分为X种类型：非持久型XSS、持久型XSS。

　　| CSRF |

　　中文名称为：跨站请求伪造攻击，可以简单理解：攻击者可以盗用你的登陆信息，以你的身份模拟发送各种请求。攻击者只要借助少许的社会工程学的诡计，例如通过QQ等聊天软件发送的链接(有些还伪装成短域名，用户无法分辨)，攻击者就能迫使 Web 应用的用户去执行攻击者预设的操作。

　　所以遇到CSRF攻击时，将对终端用户的数据和操作指令构成严重的威胁。当受攻击的终端用户具有管理员帐户的时候，CSRF攻击将危及整个 Web应用程序。

　　| SQL注入 |

　　是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。

　　而造成SQL注入的原因是因为程序没有有效的转义过滤用户的输入，使攻击者成功的向服务器提交恶意的SQL查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码。

　　| 命令行注入 |

　　命令行注入漏洞，指的是攻击者能够通过HTTP请求直接侵入主机，执行攻击者预设的shell命令，听起来好像匪夷所思，这往往是Web开发者最容易忽视但是却是最危险的一个漏洞之一，

　　| DDoS攻击 |

　　又叫分布式拒绝服务，其原理就是利用大量的请求造成资源过载，导致服务不可用，这个攻击应该不能算是安全问题，这应该算是一个另类的存在，因为这种攻击根本就是耍流氓的存在。

　　| DNS劫持 |

　　也叫做域名劫持，DNS的作用是把网络地址域名对应到真实的计算机能够识别的IP地址，以便计算机能够进一步通信，传递网址和内容等。如果当用户通过某一个域名访问一个站点的时候，被篡改的DNS服务器返回的是一个恶意的钓鱼站点的IP，用户就被劫持到了恶意钓鱼站点，然后继而会被钓鱼输入各种账号密码信息，泄漏隐私。

　　关于"常见的Web安全攻防知识点总结!"的话题到这里就结束了，网络安全培训班正在招生中，更多课程信息，欢迎咨询老男孩教育在线客服，可免费申请试听学习视频和教学大纲，了解网络安全学习路线。