安全测试
安全漏洞:
客户端/前端:
钓鱼,暗链,xss,点击挟持,CSRF,URL跳转
钓鱼:跟网站很相似的网站,吸引用户登录,输入敏感信息,获取用户登录密码等
暗链:看不见的网站链接,短时间不易被搜索引擎察觉
xss:跨站脚本攻击,往web网页插入恶意html代码,当用户浏览,会被执行
点击挟持:1,使用透明的iframe框架覆盖在网页上,诱导点击;2,使用图片覆盖在网页上原有的位置
CSRF:攻击者盗用身份进行发送恶意请求
URL跳转:url跳转漏洞的页面
服务端/后端:
sql注入,命令注入,文件上传,文件包含暴力破解
sql注入:通过SQL命令欺骗服务器执行
文件上传/文件包含:上传的附件为危险文件,服务器很容易被控制
暴力破解:使用好的字典,利用工具,暴力破解网站的登录名和密码
数据扫描漏洞工具:
sqlamp
pangolin
其他工具:
burpsuite
nmap
wireshark