008-【CS253】【网络安全】【Web Security】【斯坦福大学】【中

1. Google安全浏览是Google设计的一个系统，用于维护已知的恶意软件和钓鱼URL的列表。

2. 每次访问URL时查询中央服务的天真方法存在一些缺点，例如向第三方发送浏览历史和引入延迟。

3. 另一种方法是下载哈希前缀列表，并通过比较URL的哈希前缀与列表来检查其是否安全。

4. 哈希前缀列表不断变化且可能很大，但比查询中央服务更快。

5. 侧信道攻击是一种系统即使没有实现错误也会泄漏敏感信息的攻击方式，而计时是导致侧信道泄漏的常见因素。

6. 通过侧信道攻击，攻击者可以利用系统的不同反应时间来推断程序的运行状态。

7. 侧信道攻击可以通过观察物体的微小振动来还原产生这些振动的声音。

8. 浏览器在2010年修复了一个长期存在的攻击漏洞，通过限制可以应用于已访问链接的CSS属性、改变代码路径和假装链接的颜色，使攻击者更难以追踪用户的访问历史。

9. 侧信道攻击仍然存在，可以通过检测链接的绘制时间来推断用户是否访问过该链接。

10. 侧信道攻击是一个复杂的问题，解决方案需要权衡安全性和用户体验。

11. 代码注入是一种攻击方式，攻击者通过将恶意代码注入到服务器上，来执行任意命令。

12. 代码注入可以利用用户提供的数据和程序员编写的代码之间的混淆，使得服务器无法区分哪些是用户数据，哪些是要执行的命令。

13. 命令注入的目标是在服务器上执行任意命令，攻击者可以通过破坏数据上下文来实现这一目标。

14. 代码注入可以通过特殊字符或语法来打破数据上下文，并将攻击者的输入解释为程序指令。

15. 为了防止命令注入攻击，开发人员应该对用户输入进行严格的验证和过滤，以确保只执行预期的命令。

16. 在代码中，如果我们从不可信的用户数据源获取数据，并将其与命令或查询组合在一起，就会导致代码注入漏洞。

17. 代码注入漏洞可能会导致攻击者控制服务器执行的命令或查询。

18. 为了防止代码注入漏洞，我们应该正确地转义用户输入，并使用安全的方式将其与命令或查询组合在一起。

19. 在数据库查询中，如果我们不正确地处理用户输入，可能会导致SQL注入漏洞。

20. 为了防止SQL注入漏洞，我们应该使用参数化查询或转义用户输入来构建查询。

21. SQL注入是一种安全漏洞，攻击者可以通过在输入框中插入恶意代码来执行未经授权的数据库查询。

22. SQL注入可以导致数据库泄露敏感信息，如用户名和密码。

23. 攻击者可以通过SQL注入来绕过登录验证，获取未授权的访问权限。

24. 盲注是一种SQL注入技术，攻击者可以通过询问真假问题或测量响应时间来获取数据库中的信息。

25. 防止SQL注入的方法包括使用参数化查询、输入验证和最小化数据库权限。