安全性测试

Js document.cookie过去当前页面cookie

Xss跨站攻击

Sql注入 最通用攻击手段，关系型数据库

获取服务器端数据库的内容，修改

Access?

Md5加密不可逆

inure::php?浏览器中搜索地址包含php?

认证与授权

登录认证

访问页面的时候加session认证

确认每一个绝对URL都需要授权

文件上传漏洞

如何进行？

1 上传可执行脚本

2 修改服务器核心参数，禁止系统引擎运行系统命令

预防：

限制上传文件格式

通过文件名后缀判断 较低级的做法，修改文件名后再上传，有风险

通过二进制判断文件类型，避免可执行脚本，exe等

DDOS拒绝服务攻击（分布式拒绝服务攻击）

疯狂地张服务器发请求

方法：肉鸡，攻击联盟，模拟不存在的IP地址发

XSS跨站攻击

往web页面里面插入恶意html代码，当用户浏览时，代码会被执行，攻击用户

避免:页面上所有可输入的地方，都要做合法性检查

获取sessionid 用户账号密码等重要信息

Session与cookie

session保存服务器端的文件

cookie  保存在电脑

cookie欺骗 获取到sessionid

cookie作用域path：/ 整个根目录 不同的系统可以检查访问

解决：不同系统不同作用域

预防：避免保存敏感信息到cookie，例如用户名、密码

SQL注入 最通用的一个方法，针对关系型数据库

凡是可以输入和Url的地方

目的 获取服务器端的数据库的内容，并修改

方法:

利用sql注入登录(通过登录输入sql，通过post请求)

利用url地址参数注入sql

避免:界面上控制输入长度，服务器对输入长度做限制，需要检查表名，列名以及加密方式