Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

IT > Web Warrior > Basic (Rus) > [Security] > Basic (Часть 1) > Flashcards

[Security] > Basic (Часть 1) Flashcards

1
Q

Что такое XSS атака

A

XSS(Cross-Site Scripting) — фронтенд уязвимость,

защита
1) юзать ssl сертификат для шифрования данных юзера
2) юзать cors
3) использовать библиотеки а с анализом кода (eslint который валидирует js или orm`ки для БД которые не пропускаю SQL иньекции)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Что такое эксплойт?

A

Эксплойтом называют скрипт, который позволяет эксплуатировать уязвимости

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Что такое Cors
+от чего он защищает?

A

Cross-Origin Resource Sharing (CORS) — механизм, использующий HTTP-заголовки, чтобы определить с каких доменнов можно получать запросы

(от чего он защищает)
Защищает от фишинга, когда хакер подделывает страницу, что бы пользовател ввел свои данные и залогинился через его сайт

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Что такое SQL иньекции, как с ними бороться?

A

Cross-Origin Resource Sharing (CORS) — механизм, использующий дополнительные HTTP-заголовки, чтобы дать возможность агенту пользователя получать разрешения на доступ к выбранным ресурсам с сервера на источнике (домене), отличном от того, что сайт использует в данный момент. Говорят, что агент пользователя делает запрос с другого источника (cross-origin HTTP request), если источник текущего документа отличается от запрашиваемого ресурса доменом, протоколом или портом.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Способы валидации данных из запроса

A

Защитится обработкой информации что бы не пропустит скрипты из js или скл иньекции

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Что такое фишиннг?

A

Фишинг — это вид интернет-мошенничества, целью которого является получение доступа к данным юзера(логинам и паролям, токенам)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

SCP

A

CSP (Content-Security-Policy)
Content-Security-Policy, пожалуй, самый важный из них. Он устанавливается в качестве HTTP header и говорит о том, откуда можно брать контент для выполнения на вашей странице. К примеру, если вы тянете JavaScript-файлы со своего собственного домена, то все ОК. Туда также можно прописать CDN, с которого вы подтягиваете какие-то скрипты или другие вещи.

Content-Security-Policy: default-src ‘self’ *.trusted.com

Из крутого — туда можно прописать report-uri. Report-uri хорош тем, что если вы его укажете в своей policy, то все попытки обойти CSP будут вам репортиться именно на этот адрес:

Content-Security-Policy: default-src ‘self’; report-uri

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

IT > Web Warrior > Basic (Rus) (16 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions