2021CISP-PTE(注册渗透测试工程师)考试内容以考试大纲为基础,如有考生想要参加并获得CISP-PTE认证,建议先了解考纲,下文就是小编整理的CISP-PTE知识类:Web安全(3.4),可供考生参考。
3.4 知识体:请求伪造漏洞
图 3-4:知识体:请求伪造漏洞
3.4.1 知识域:SSRF 漏洞
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定 URL地址获取网页文本内容,加载指定地址的图片,下载等等。
知识子域:服务端请求伪造漏洞概念
了解什么是 SSRF 漏洞
了解利用 SSRF 漏洞进行端口探测的方法
知识子域: 服务端请求伪造的检测与防护
掌握 SSRF 漏洞的检测方法
了解 SSRF 漏洞的修复方法
3.4.2 知识域:CSRF 漏洞
在跨站请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面发送到任何地址的请求,因此也就意味着当用户在浏览他/她无法控制的资源时,攻击者可以控制页面的内容来控制浏览器发送它精心构造的请求。
知识子域:跨站请求伪造漏洞的原理
了解 CSRF 漏洞产生的原因
理解 CSRF 漏洞的原理
知识子域:跨站请求伪造漏洞的危害与防御
了解 CSRF 漏洞与 XSS 漏洞的区别
掌握 CSRF 漏洞的挖掘和修复方
更多备考信息尽在希赛网CISP频道-考试辅导栏目,敬请期待……
