qq_45791294的博客

XSS攻击：跨站脚本攻击是攻击者利用网站程序对用户输入过滤不足的缺陷，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用身份进行某种动作或对访问者进行病毒侵害的一种攻击方式原理：本质上是一种将恶意脚本嵌入到当前网页中并执行的攻击方式。黑客通过HTML注入行为篡改网页，并插入恶意的js脚本，从而在用户浏览网页的时候控制浏览器行为产生原因：主要原因是网站对用户提交的数据过滤不严格，攻击者利用其用户身份在输入参数时附带了恶意脚本，在提交到服务器后，服务器没有对用户端传入的参数做

CSRF原理：用户端于服务器端利用HTTP协议进行交互，并利用请求-相应的方式开展web应用，用户端发出的请求可以被伪造，那么就形成了跨站请求伪造。csrf完全不同于xss。xss攻击侧重于获取用户的权限和信息；csrf则是攻击者伪造当前用户，让目标服务器误以为请求是由当前用户发起，并利用当前用户权限实现业务请求。从攻击者视角来说：攻击者伪造一个页面，页面功能为伪造当前用户的请求，当用户点击恶意页面的时候，会自动像当前用户的服务器提交攻击者伪造的业务请求，请求会以当前用户的身份进行执行。效果：在当

定义：攻击者通过把恶意sql命令插入到web表单的输入域或页面请求的查询字符串中，并且插入的恶意sql命令会导致原有sql语句作用发生改变，从而达到欺骗服务器执行恶意sql命令的攻击。原因：用户能够提交非法内容sqlmap get型注入流程寻找注入点：基于方法是参数后面加单引号，观察其返回页面的内容。由于添加单引号会导致sql语句执行错误，因此，若存在SQL注入漏洞，当前页面会报错，或者出现查询内容不显示的情况1=1 1=2测试现有三个连接 1 为正常连接 2 为 1=1 3 为1=2页面

HTTP协议：特点：1.简单 可以简单概括为：用户发起请求-服务器响应-新请求重新发起 每次请求均可为独立行为（无状态）2.支持b/s模式 只要有浏览器即可工作，用户使用简单，已于操作。从某种意义上说，app也可以视为某种特定内容的浏览器3.灵活 数据传输、视频播放、交互等，因此适应快速迭代的互联网环境HTTP请求包：请求行：请求类型、请求文件路径、HTTP版本请求头：用来向服务器传递客户端自身的信息以及用户的附加信息请求正文：包含HTTP传输的信息。当请求方法为get时，请求正文