摘要:本文是2021年CISP-PTE知識類:Web安全(3.4),2021年CISP-PTE7月起歸于CISP認證體系的專業(yè)方向,每月會開考一次,具體時間請考生直接聯(lián)系授權(quán)機構(gòu)。為了方便考生備考,建議考生了解CISP-PTE知識體系大綱的相關(guān)內(nèi)容。
2021CISP-PTE(注冊滲透測試工程師)考試內(nèi)容以考試大綱為基礎(chǔ),如有考生想要參加并獲得CISP-PTE認證,建議先了解考綱,下文就是小編整理的CISP-PTE知識類:Web安全(3.4),可供考生參考。
3.4 知識體:請求偽造漏洞
圖 3-4:知識體:請求偽造漏洞
3.4.1 知識域:SSRF 漏洞
SSRF(Server-Side Request Forgery:服務(wù)器端請求偽造) 是一種由攻擊者構(gòu)造形成由服務(wù)端發(fā)起請求的一個安全漏洞。一般情況下,SSRF 攻擊的目標是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)。SSRF 形成的原因大都是由于服務(wù)端提供了從其他服務(wù)器應(yīng)用獲取數(shù)據(jù)的功能且沒有對目標地址做過濾與限制。比如從指定 URL地址獲取網(wǎng)頁文本內(nèi)容,加載指定地址的圖片,下載等等。
知識子域:服務(wù)端請求偽造漏洞概念
了解什么是 SSRF 漏洞
了解利用 SSRF 漏洞進行端口探測的方法
知識子域: 服務(wù)端請求偽造的檢測與防護
掌握 SSRF 漏洞的檢測方法
了解 SSRF 漏洞的修復(fù)方法
3.4.2 知識域:CSRF 漏洞
在跨站請求偽造(CSRF)攻擊里面,攻擊者通過用戶的瀏覽器來注入額外的網(wǎng)絡(luò)請求,來破壞一個網(wǎng)站會話的完整性。而瀏覽器的安全策略是允許當前頁面發(fā)送到任何地址的請求,因此也就意味著當用戶在瀏覽他/她無法控制的資源時,攻擊者可以控制頁面的內(nèi)容來控制瀏覽器發(fā)送它精心構(gòu)造的請求。
知識子域:跨站請求偽造漏洞的原理
了解 CSRF 漏洞產(chǎn)生的原因
理解 CSRF 漏洞的原理
知識子域:跨站請求偽造漏洞的危害與防御
了解 CSRF 漏洞與 XSS 漏洞的區(qū)別
掌握 CSRF 漏洞的挖掘和修復(fù)方
更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目,敬請期待……