- xss
跨站脚本攻击
分为三大类:
反射型xss
特点:
1.通常在我们的请求包中或者在url中存在插入的payload
2. 需要服务器的参与 并最终通过服务器返回插入的payload
存储型xss
特点:
1.需要数据库的参与
2. 被攻击者访问特定的页面 服务器会从数据库中读取插入的payload 并最终返回
dom型xss
特点:
1.无需服务器的参与
2. 右键查看源代码 无法查看到插入的payload
csrf 跨站请求伪造
挟制目标用户执行某些非本意的操作
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
攻击者盗用了你在某个网站的身份,以你的名义发送恶意请求。
如何挟制用户?
如何让用户执行非本意的操作?
CSRF能够做的事情
以你的名义:
发邮件
发消息
财产操作比如转账,或者购买商品
新建文件…
增删改查的操作他都可以做
等等·
面试必问 scrf 原理