第一节 XSS漏洞
课程回顾
什么是XSS?XSS分类XSS演示
总结回答
XSS: Cross Site Script,跨站脚本。 危害:盗取用户信息,钓鱼,制造蠕虫等。
XSS类型方式存储型将脚本存储在漏洞服务器中,受害者浏览页面就会执行恶意代码反射型访问携带XSS脚本的链接,触发XSS,解析参数输出到响应DOM型访问携带XSS脚本的链接,触发XSS,解析URL过程中执行恶意代码
略
学习拓展
初级
熟练掌握课程当中介绍的实例,读懂实例代码,根据课程当中介绍的知识点复现漏洞,并使用弹窗截图证明了解并学习XSS漏洞的原理和常用测试方法,使用5个课堂当中没有讲解的测试脚本在课程测试环境当中进行测试,并利用弹窗截图进行证明了解并学习常见的XSS漏洞类型,以及相应类型的特点和测试挖掘方法,并根据每种类型至少整理1-3个测试脚本 ,在课程环境进行测试
回答
略参考网页
高级
搞懂每一个XSS测试脚本的意思和原理 参考链接了解并学习XSS漏洞常用的过滤和绕过方法 参考链接系统学习XSS漏洞相关知识 参考链接
第二节 CSRF漏洞
课程回顾
CSRF是什么?CSRF原理
总结回答
CSRF:Cross-site Request Forgery ,跨站请求伪造。可以执行恶意操作,蠕虫等。CSRF一般方法是在页面内插入一个恶意跳转页面,跳转页面内包含隐私页面的表单提交请求。
学习拓展
初级
深刻理解CSRF漏洞原理,至少列举5种在Web应用当中常见的漏洞场景了解并熟悉一下CSRF的攻击脚本的构造和利用过程
回答
漏洞方式造成危害转账漏洞