1:xss攻击,在页面的输入框中植入一段js(javascript)脚本
请求参数输入
<script>alert(/30141/)</script>
<script>while(true){alert(“有本事你就把我关掉”)}</script>
如提交有提示框,则未校验
2:sql注入
and 1=1 简单sql查询
3:页面输入项注入(测试一定要谨小慎微,不能放过任何输入项,严谨严谨,该测试的一定要测试,输入项包括各种工具、app)
对输入参数进行处理,建议过滤出所有以下字符:
[1] |(竖线符号)
[2] & (& 符号)
[3];(分号)
[4] $(美元符号)
[5] %(百分比符号)
[6] @(at 符号)
[7] ‘(单引号)
[8] "(引号)
[9] \‘(反斜杠转义单引号)
[10] \"(反斜杠转义引号)
[11] <>(尖括号)
[12] ()(括号)
[13] +(加号)
[14] CR(回车符,ASCII 0x0d)
[15] LF(换行,ASCII 0x0a)
[16] ,(逗号)
[17] \(反斜杠)
4:密码不能明文传输,抓包时可以看到密码是否明文传输,一定要规避
5:在页面输入框中植入一段html代码
植入html代码又可以分几种情况,以下几种情况是测试中用的最多的,因为他们都可以指定一个路径,链接到第三方平台,而有些情况一经点击就可以跳到指定的第三方平台,而这种情况是很容易在第三方页面上做手脚盗取你网站的私密数据的。
. 植入<img>图片,这个图片的链接指向第三方的图片,
影响:第一,非一条正常数据,第二,对方可以利用你的漏洞捣乱,传上去一些非法图片。
. 植入超链接:<a>,如果你的页面没有做html过滤就可能被植入一段超链接,点击就可以跳到第三方平台。
影响:第一,非一条正常数据,第二,别有用心的人就可以利用你的漏洞去做一些非法的事情。
. 植入iframe:<iframe>,如果你的页面没有做html过滤同样也有可能被别人直接植入一个iframe,嵌入一个第三方页面,直接显示在你的网站页面上,比如,我们现在通过iframe在我们的老师列表页面植入视频网站--优酷,这样我们就可以点击优酷上的视频来观看了。
影响:第一,非一条正常数据,第二,同样别人可以通过这种方式直接植入不安全的第三方网站或者广告。