web安全漏洞
一、XSS型漏洞
1)存储型XSS(恶意弹窗)
·安装Firebug插件
火狐浏览器最顶端
右击鼠标
菜单栏
工具
附加组件
扩展
搜索firebug
安装Firebug插件
菜单栏->工具->web开发者-> firebug(快捷键F12)
查看源码,了解详情
·HTML选项卡
·右边输入Here(弹窗内容)
2)反射型XSS(邮件等触发)
3)DOM型XSS(JS触发)
·firebug
·脚本
·hash
二、CSRF(被转账,被点赞,被参加回复)
·Cross Site request forgery
三、点击劫持
·通过覆盖不可见的框架无法哦受害者点击而造成的攻击行为!
四、URL跳转漏洞
·将恶意网址变得可信!
五、SQL注入漏洞(访问修改数据库数据)
·万能密码(注释掉密码段,SQL注入的一种利用方式)
·可以只用姓名查学生成绩
·只用考生号查询四六级成绩
·只用工号跳过密码查询工资流水
·获取数据库信息
·脱裤
·获取服务器权限
·植入webshell
·万能密码(admin’ --)
六、命令注入
·利用&拼接
·非常危险
七、文件操作类漏洞(头像上传,文件上传)
·上传漏洞
·上传webshell
·上传木马
·文件下载
·下载系统任意文件
·下载程序代码
·文件包含漏洞