信息安全相关名词收集

收集学习中遇到不懂得信息安全相关的名词,其实google下就知道了,但是记个笔记以后可以忘了更快索引.杂乱收录就不做分类了.
今天居然忘了域名泛解是啥….看来还是有必要记录下.

域名泛解析

在域名前添加任何子域名,均可访问到所指向的WEB地址。也就是客户的域名#.com之下所设的*.#.com全部

self-XSS

只在自己本地生效得XSS漏洞,直观看来没什么利用价值漏洞,但是通过巧妙得攻击思路,也许就能去掉self,把它变成真正有用得xss

内容安全策略(CSP)

其实就是CSP的中文.
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。

CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。

来源:http://www.ruanyifeng.com/blog/2016/09/csp.html

CORS

CORS是跨源资源分享(Cross-Origin Resource Sharing)的缩写
它是W3C标准,是跨源AJAX请求的根本解决方法。相比JSONP只能发GET请求,CORS允许任何类型的请求。 CORS请求大致和ajax请求,但是在头信息中加上了Origin字段表明请求来自哪个源。如果orgin是许可范围之内的话,服务器返回的响应会多出Acess-Control-Allow-*的字段

CORS与JSONP的使用目的相同,但是比JSONP更强大。
JSONP只支持GET请求,CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。

RPO

RPO(Relative Path Overwrite)相对路径覆盖
主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过相对路径来引入其他的资源文件,以至于达成我们想要的目的.

如果文章有问题欢迎指出,或者你也可以联系我
本文作者:E1se
本文链接: 2019/04/07/信息安全相关名词收集/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 3.0 CN 许可协议。转载请注明出处!
-------------本文结束-------------
0%