OWASP top10(2021)
- Broken Access Control,失效的访问控制
- Cryptographic Failures,加密机制失败
- Injection,注入
- Insecure Design,不安全的设计
- Security Misconfiguration,安全配置错误
- Vulnerable and Outdated Components,易受攻击和过时的组件
- Identification and Authentication Failures,身份识别和身份验证错误
- Software and Data Integrity Failures,软件和数据完整性错误
- Security Logging & Monitoring Failures,安全日志和监控故障
- Server-Side Request Forgery (SSRF),服务器端请求伪造 (SSRF)
跨域了解多少
同源和跨域中的源和域是一个概念,英文都是origin
同源的判定:协议、域名、端口都相同;同源页面之间可以相互访问
Server Porxy
同源策略只针对于浏览器做的限制,因此可以让客户端将请求发给自己的服务器,服务器请求跨域信息,返回给客户端
document.domain
使用父子页面iframe,使用共同的documnt.domain
JSONP
JSON with Padding,同源策略两个网站不能沟通,但是script标签可以跨域请求js脚本,将网站的数据封装在js代码中进行传递
window属性
在js脚本里通过window的属性进行读写
window对象的postMessage函数
允许携带参数去访问一个链接
sql注入分类
- 参数类型
- 数值型
- 字符型
- 单引号
- 双引号
- 带括号
- 请求方式
- GET
- POST
- Cookie
- HTTP Header
- 是否有回显
- 显式
- 堆叠:union,group_concat
- 报错:extractvalue,updatexml,rand+floor
- 盲注
- 时间:sleep
- 报错:页面信息变化
- 显式
HTTP各版本区别
HTTP1.0
http1.0是无状态的,每各请求和响应都需要建立一个新的tcp链接,完成之后立即关闭连接
http1.0不支持主机头字段,因此不能在同一个服务器上托管多个域名的网站,服务器无法区分不同的域名
HTTP1.1
http1.1引入持久连接,允许单个tcp连接可以发送和接受多个包,减少了建立连接和断开连接的开销
http1.1引入主机头字段,允许客户端在请求头中指定请求的目标主机,这时同一台服务器上可以托管多个域名的网站
HTTP2.0
二进制传输:http1.x使用文本传送数据;http2.0使用二进制传送数据,
流量控制:对链接进行流量控制,控制发送速率和接受速率,避免了服务器和客户端之间速率不匹配问题
头部压缩:用HPACK协议,将重复或静态的头部压缩
服务器推送:http2.0允许将服务器资源主动推送给客户端,不需要客户端明确的请求
TCP的拥塞机制
TCP三次握手四次挥手
剩下的部分见
云原生与安全
