2021CISP-PTE知識類:Web安全(3.4)

2021CISP-PTE（注冊滲透測試工程師）考試內容以考試大綱為基礎，如有考生想要參加并獲得CISP-PTE認證，建議先了解考綱，下文就是小編整理的CISP-PTE知識類:Web安全(3.4)，可供考生參考。

3.4 知識體：請求偽造漏洞

圖 3-4：知識體：請求偽造漏洞

3.4.1 知識域：SSRF 漏洞

SSRF(Server-Side Request Forgery:服務器端請求偽造) 是一種由攻擊者構造形成由服務端發(fā)起請求的一個安全漏洞。一般情況下，SSRF 攻擊的目標是從外網無法訪問的內部系統(tǒng)。SSRF 形成的原因大都是由于服務端提供了從其他服務器應用獲取數據的功能且沒有對目標地址做過濾與限制。比如從指定 URL地址獲取網頁文本內容，加載指定地址的圖片，下載等等。

知識子域：服務端請求偽造漏洞概念

了解什么是 SSRF 漏洞

了解利用 SSRF 漏洞進行端口探測的方法

知識子域: 服務端請求偽造的檢測與防護

掌握 SSRF 漏洞的檢測方法

了解 SSRF 漏洞的修復方法

3.4.2 知識域：CSRF 漏洞

在跨站請求偽造(CSRF)攻擊里面，攻擊者通過用戶的瀏覽器來注入額外的網絡請求，來破壞一個網站會話的完整性。而瀏覽器的安全策略是允許當前頁面發(fā)送到任何地址的請求，因此也就意味著當用戶在瀏覽他/她無法控制的資源時，攻擊者可以控制頁面的內容來控制瀏覽器發(fā)送它精心構造的請求。

知識子域：跨站請求偽造漏洞的原理

了解 CSRF 漏洞產生的原因

理解 CSRF 漏洞的原理

知識子域：跨站請求偽造漏洞的危害與防御

了解 CSRF 漏洞與 XSS 漏洞的區(qū)別

掌握 CSRF 漏洞的挖掘和修復方

更多備考信息盡在希賽網CISP頻道-考試輔導欄目，敬請期待……