land攻擊是什么?
局域網(wǎng)拒絕服務(wù)攻擊,DDOS攻擊的一種,通過發(fā)送精心構(gòu)造的、具有相同源地址和目標(biāo)地址的欺騙數(shù)據(jù)包,致使缺乏相應(yīng)防護(hù)機(jī)制的目標(biāo)設(shè)備癱瘓
你會如何進(jìn)行信息收集?
服務(wù)器信息:ip、中間件、操作系統(tǒng)
域名whois、ipwhois、網(wǎng)段歸屬
子域名探測
網(wǎng)站目錄掃描、接口信息掃描
端口掃描
各大引擎搜索相關(guān)信息
什么是CRLF注入攻擊?
通過“回車”和“換行”字符注入HTTP流,實(shí)現(xiàn)網(wǎng)站篡改、跨站腳本、劫持等。
防止XSS,前端后端兩個(gè)角度?
前端:
用戶輸入特殊字符過濾轉(zhuǎn)義為html實(shí)體
用戶輸出編碼
后端:
實(shí)體化編碼
函數(shù)過濾
限制字符長度