1、XSS:跨站脚本攻击
第一个S是site,第二个S是script。第一个X不是xyz的x,而是叉号。本来应该是Cross Site Script,可是这样缩写就是CSS,而CSS已经被表示样式的CSS给占了,又由于cross表示交叉的意思,所以用x代替cross,从而产生了XSS。这个主要就是利用网页的一些漏洞,在网页中执行一些脚本。什么漏洞呢,就是网页在展示用户输入的内容的时候,没有做html转义,从而使得用户输入的恶意内容被浏览器当成html代码执行了。
比如
2、CSRF:跨站请求伪造,也可以写成XSRF
Cross Site Request Forgery
用户先访问A网站,然后在账号没有退出的情况下,访问B网站。B网站恶意调用了A网站后台的一个接口,A网站后台校验session通过后,执行此请求,用户中招。
如何防范呢?A网站后台可以做referer校验,只有referer值是A网站域名时,后台才执行请求。
3、SQL注入
尿素' or 1 = 1 #
有些时候服务端会把页面输入值当做参数执行sql操作,如果输入值中有一些sql中的关键字,那么
4、webshell
5、远程代码执行
6、DDos