通过在千锋360网络安全培训的学习，发现越来越对网络安全产生了浓厚的兴趣。在这一个月的学习中，最重要的体会是学习能力的提高，和学习方法的改变。学习一个知识时，不要要求自己每个知识点都学会，实际上你也不能把知识点完全掌握，因此有些部分学完之后不是很理解，就不要在这上面花太多时间，先把这个知识部分都学习一遍，就可以大致了解哪些是重点，哪些是难点，然后针对性的学习。

　　下面总结一下最近学习知识：常见的web攻击类型。

　　1、sql注入

　　由于程序中对用户输入检查不严格，用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。对于输入检查不充分，导致SQL语句将用户提交的非法数据当作语句的一部分来执行。

　　2、XSS跨站脚本攻击有三种类型：

　　反射型：跨站代码一般存在于链接中，请求这样的链接时，跨站代码经过服务端反射回来，这类跨站的代码一般不存储到服务端

　　存储型：这是利用起来最方便的跨站类型，跨站代码存储于服务端(比如数据库中)

　　dom型：DOM的跨站，这是客户端脚本自身解析不正确导致的安全问题

　　3、CSRF

　　跨站点请求伪造，通常用来指web网站的这一类漏洞，即在某个恶意站点的页面上，促使访问者请求被攻击者的网站的某个 URL，从而达到改变服务器端数据的目的。

　　在页面中加入一个标签，浏览器就会发送一个请求，以获取其src属性引用的值攻击者将敏感操作的URI作为src 继承Cookie，以浏览者的身份作敏感访问并操作。

　　4、SSRF 服务器端请求伪造

　　利用web服务器需要向内网服务器请求资源时，未对目的ip进行限制的的漏洞。利用技巧有@符号，localhost,短地址，DNS解析等。

　　以上这些知识点，只是千锋360网络安全培训中一点而已，如果你想要了解学习更多网络安全培训的技术，那么不妨选择千锋360网络安全培训。

　　移动安全网 报道：http://www.ydhacker.com/hotnews/2018/1116/111625QH018.html