读书笔记：《图解HTTP》第十章、第十一章

《图解HTTP》完整目录  >>

    第10章　构建Web内容的技术    

    HTML 超文本标记语言

           目前的HTML标准：HTML 5，解决浏览器间兼容问题，并可把文本作为数据对待，更容易复用，动画等效果也更生动。

           HTML文档标签< >

           CSS（Cascading Style Sheets，层叠样式表）：指定如何展现HTML的各种元素，让文档结构与设计分离，达到解耦的作用

动态HTML 技术使用：客户端脚本语言 JavaScript+ DOM（Document Object Model，文档对象模型）

           DOM 是用以操作 HTML 文档和 XML 文档的 API（ApplicationProgramming Interface，应用编程接口）。使用 DOM 可以将 HTML 内的元素当作对象操作.

    Web的应用

           Web应用是指通过Web功能提供的应用程序

           由程序创建的内容称为动态内容，而事先准备好的内容称为静态内容。Web 应用则作用于动态内容之上。

           CGI（Common Gateway Interface，通用网关接口）是指 Web 服务器在接收到客户端发送过来的请求后转发给程序的一组机制。使用 CGI 的程序叫做 CGI 程序。

           Servlet是一种能在服务器上创建动态内容的程序。Servlet 是用 Java语言实现的一个接口。比CGI运行负载小。

    数据分布的格式及语言

           1.XML（eXtensible Markup Language，可扩展标记语言）是一种可按应用目标进行扩展的通用标记语言，目的是让互联网数据共享变得更容易。（相比于HTML而言，XML的结构基本上都是用标签分割而成的树形结构）

           2.RSS（简易信息聚合或聚合内容）/Atom 发布新闻或博客日志等更新信息文档的格式的总称，用到 XML

           3.JSON 一种以JavaScript（ECMAScript）的对象表示法为基础的轻量级数据标记语言。

    目前火爆（前端框架：Vue，React 等；数据发布语言：XML，JSON）

    第十一章 Web的攻击技术    

    针对Web的攻击技术

           在客户端篡改请求（在web应用中，从浏览器那里接受到的HTTP请求的全部内容，都可以在客户端自由的变更、篡改）

           针对Web应用的攻击模式：

                      （1）主动攻击，直接（代表：SQL 注入攻击和 OS 命令注入攻击）；

                      （2）被动攻击，圈套诱导（代表：跨站脚本攻击和跨站点请求伪造。）

    因输出值转义不完全引发的安全漏洞

           实施 Web 应用的安全对策

                      （1）.客户端的验证

                      （2）.Web 应用端（服务器端）的验证 :（1输入值验证；（2输出值转义

           ♦ 跨站脚本攻击XSS：通过存在安全漏洞的Web 网站注册用户的浏览器内运行非法的HTML 标签或 JavaScript 进行的一种攻击。一般在动态生成HTML处发生。危害：获取个人信息、伪造文章图片、窃取用户Cookie值，发送恶意请求。

           ♦ SQL 注入攻击：是指针对 Web 应用使用的数据库，通过运行非法的 SQL 而产生的攻击。危害：篡改数据、规避认证、执行和数据库服务器业务关联的程序等。

                      （SQL 是用来操作关系型数据库管理系统的数据库语言。 举例：SELECT * FROM xxx）

           ♦ OS 命令注入攻击：通过web应用，执行非法的操作系统命令。

           ♦ HTTP首部注入攻击：是指攻击者通过在响应首部字段内插入换行，添加任意响应首部或主体的一种攻击。属于被动攻击。危害：设置任何Cookie信息，重定向到任意URL、显示任意主体（HTTP响应截断攻击：往首部主体内添加内容）

           ♦ 邮件首部注入：是指Web应用中的邮件发送功能，攻击者通过向邮件首部To或Subject内任意添加非法内容发起的攻击。

           ♦ 目录遍历攻击：是指对本无意公开的文件目录，通过非法截断其目录路径后，达成访问目的的一种攻击。

           ♦ 远程文件包含漏洞：是指当部分脚本内容需要从其他文件读入时，攻击者利用指定外部服务器的 URL 充当依赖文件，让脚本读取之后，就可运行任意脚本的一种攻击。

    因设置或设计上的缺陷引发的安全漏洞

           ♦ 强制浏览：从安置在Web服务器的公开目录下的文件中，浏览非自愿公开的文件。危害：泄露个人信息、泄露无权限信息、泄露未外连到外界的文件

           ♦ 不正确的错误消息处理：指在浏览界面展现详细的错误提示信息给攻击者启发

           ♦ 开放重定向：对指定的任意URL做重定向的功能，会诱导至恶意网站

    因会话管理疏忽引发的安全漏洞

           ♦ 会话劫持：非法获取用户会话ID，非法使用ID伪装成用户

           ♦ 会话固定攻击：强制用户使用攻击者的会话ID（如引诱用户认证，认证后ID变为认证状态给攻击者利用），属于被动攻击

           ♦ 跨站点请求伪造CSRF：是指攻击者通过设置好的陷阱，强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新，属于被动攻击。

    其他安全漏洞

           ♦ 密码**：（1）密码试错[穷举法、字典法：猜测可能值保存为字典….]；（2）对已加密密码的**（指攻击者入侵系统，已获得加密或散列处理的密码数据的情况）

           ♦ 点击劫持：是指利用透明的按钮或链接做成陷阱进行不知情点击，又称界面伪装

           ♦ DoS 攻击：集中利用访问请求造成资源过载或服务停止。多台计算机发起为DDOS攻击。

           ♦ 后门程序：指开发设置的隐藏入口

END

虽意犹未尽，但《图解HTTP》的笔记整理于此就结束啦，完整目录（点击），想要详细学习的伙伴们可以进一步学习《HTTP权威指南》，让我们期待下一本书的开始，BY~~

END