WEB安全2
客户端/WEB应用安全
相关漏洞
-
前端/客户端
- 钓鱼
- 暗链
- XSS
- 点击劫持CSRF
- URL跳转
-
后端/服务端
- SQL注入
- 命令注入
- 文件上传
- 文件包含
- 暴力破解
cookie/session
-
cookie
- 保存在客户端
-
session
- 保存在服务端
- 较cookie安全性更高
同源策略
- 协议
- 端口
- 域名
浏览器沙箱
- 隔离区
十大热门漏洞(OWASP Top 10)
访问控制崩溃
-
越权访问
- 通过修改 URL、内部应用程序状态或 HTML 页面绕过访问控制检查,或简单地使用自定义的 API 攻击工具
- 允许将主键更改为其他用户的记录,例如查看或编辑他人的帐户
- 特权提升。在不登录的情况下假扮用户,或以用户身份登录时充当管理员
- 以未通过身份验证的用户身份强制浏览的通过身份验证时才能看到的页面、或作为标准用户访问具有相关权限的页面、或API没有对POST、PUT和DELETE强制执行访问控制
Comments NOTHING