2021CISP-PTE知識類:Web安全(3.4)

2021CISP-PTE（注冊滲透測試工程師）考試內(nèi)容以考試大綱為基礎(chǔ)，如有考生想要參加并獲得CISP-PTE認(rèn)證，建議先了解考綱，下文就是小編整理的CISP-PTE知識類:Web安全(3.4)，可供考生參考。

3.4 知識體：請求偽造漏洞

圖 3-4：知識體：請求偽造漏洞

3.4.1 知識域：SSRF 漏洞

SSRF(Server-Side Request Forgery:服務(wù)器端請求偽造) 是一種由攻擊者構(gòu)造形成由服務(wù)端發(fā)起請求的一個安全漏洞。一般情況下，SSRF 攻擊的目標(biāo)是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)。SSRF 形成的原因大都是由于服務(wù)端提供了從其他服務(wù)器應(yīng)用獲取數(shù)據(jù)的功能且沒有對目標(biāo)地址做過濾與限制。比如從指定 URL地址獲取網(wǎng)頁文本內(nèi)容，加載指定地址的圖片，下載等等。

知識子域：服務(wù)端請求偽造漏洞概念

了解什么是 SSRF 漏洞

了解利用 SSRF 漏洞進(jìn)行端口探測的方法

知識子域: 服務(wù)端請求偽造的檢測與防護(hù)

掌握 SSRF 漏洞的檢測方法

了解 SSRF 漏洞的修復(fù)方法

3.4.2 知識域：CSRF 漏洞

在跨站請求偽造(CSRF)攻擊里面，攻擊者通過用戶的瀏覽器來注入額外的網(wǎng)絡(luò)請求，來破壞一個網(wǎng)站會話的完整性。而瀏覽器的安全策略是允許當(dāng)前頁面發(fā)送到任何地址的請求，因此也就意味著當(dāng)用戶在瀏覽他/她無法控制的資源時，攻擊者可以控制頁面的內(nèi)容來控制瀏覽器發(fā)送它精心構(gòu)造的請求。

知識子域：跨站請求偽造漏洞的原理

了解 CSRF 漏洞產(chǎn)生的原因

理解 CSRF 漏洞的原理

知識子域：跨站請求偽造漏洞的危害與防御

了解 CSRF 漏洞與 XSS 漏洞的區(qū)別

掌握 CSRF 漏洞的挖掘和修復(fù)方

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目，敬請期待……