1、XSS跨站脚本攻击(利用站点内的信任用户)
A—恶意构造web的url—>B
B——打开url(恶意页面的js打开具有漏洞的HTML页面安装在B电脑上)——恶意页面包含b电脑本地执行的js
A——恶意脚本可以在B电脑上执行B所有权限下的命令
eg.2014年百度贴吧出现点击帖推广自动转发。
2、CSRF跨站请求伪造(伪装受信任用户的请求来利用受信任网站)
受害者满足条件:登陆受信任网站A,并在本地生成cookie
在不登出A的情况下访问危险网站B
常见的GET请求
解决方法:令牌生成函数
3、SQL注入
通过sql命令(常用手段)插入到web表单或输入域名或页面请求的查询字符串
网友评论