PART2 web安全漏洞

web安全漏洞

一、XSS型漏洞
1）存储型XSS（恶意弹窗）

			·安装Firebug插件
			
				火狐浏览器最顶端
				右击鼠标
				菜单栏
				工具
				附加组件
				扩展
				搜索firebug
				安装Firebug插件
				菜单栏->工具->web开发者-> firebug(快捷键F12)
				查看源码，了解详情
					·HTML选项卡
					·右边输入Here（弹窗内容）
				
		2）反射型XSS(邮件等触发)
		
		3）DOM型XSS（JS触发）  
				·firebug
				·脚本
				·hash

二、CSRF（被转账，被点赞，被参加回复）

		·Cross Site request forgery

三、点击劫持
·通过覆盖不可见的框架无法哦受害者点击而造成的攻击行为！

四、URL跳转漏洞
·将恶意网址变得可信！

五、SQL注入漏洞（访问修改数据库数据）
·万能密码（注释掉密码段，SQL注入的一种利用方式）
·可以只用姓名查学生成绩
·只用考生号查询四六级成绩
·只用工号跳过密码查询工资流水
·获取数据库信息
·脱裤
·获取服务器权限
·植入webshell
·万能密码（admin’ --）

六、命令注入
·利用&拼接
·非常危险

七、文件操作类漏洞（头像上传，文件上传）

		·上传漏洞
			·上传webshell
			·上传木马
		·文件下载
			·下载系统任意文件
			·下载程序代码
		·文件包含漏洞