feiwujiushiwo的博客

会话固定漏洞是指用户在首次登录之后，应用程序未正确的更新或删除Session ID（会话标识符），导致后续的登录请求仍然使用初始的会话ID。这时攻击者就有可能通过捕获并使用这些持久会话ID来模拟已登录的用户，执行恶意操作。Web通用漏洞。

跨域资源共享（Cross-Origin Resource Sharing）漏洞。网站为了便于跨域资源调用，在响应头中增加了Acess-Control-Allow-Origin参数，若该参数设置不当，便会造成信息泄露漏洞。（类似于JSONP劫持漏洞）可允许任何域名跨域请求该接口并获取返回数据。

跨站脚本攻击漏洞(Cross Site Scripting)，为了区别于CSS故而写作XSS。由于网站开发存在缺陷，可允许攻击者通过在Web页面内插入恶意Script代码攻击其他用户的漏洞。

​ 服务端未对传入的跳转url 变量进行检查和控制，可能导致构造任意一个恶意地址，诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的，用户会比较信任，所以跳转漏洞一般用于钓鱼攻击，通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息，或欺骗用户进行金钱交易；还可以造成xss 漏洞。

跨站请求伪造（Cross-Site Request Forgery）是一种网络安全漏洞，攻击者利用用户当前已经认证的会话来执行未经用户授权的操作。攻击者通过诱使受害者在其身份验证的网站上执行恶意操作来实施此攻击，从而绕过了目标网站对请求来源的验证机制。网站的敏感操作缺乏二次校验或所依赖的参数可被预测。简单来说就是可以“一次性”完成。所谓“一次性”，是指该请求提交时的表单可被事先构造，经攻击者发送给受害用户，当受攻击的用户点击链接时，在不知情的情况下自动完成了对表单的提交。