这几天Strtus2的安全漏洞掀起了热烈讨论。随着网络越来越深入生活,以及新的互联网产品不断推出,安全形势更加严峻了。
我所在的企业,自从成立了安全部门之后,我也不断的收到了若干安全漏洞报告。
所接触到的漏洞主要有下面几种:
- XSS 跨站脚本攻击
- CSRF 跨站请求伪造
- SQL注入
- 权限绕过
1. XSS
本章节代码在Chrome50下测试
很普遍的漏洞,危害非常大。
XSS分两种,反射型xss和存储型xss。两者不同支出就在于是否会持久化到服务器。
但是不管哪种,本质上是用户在页面动态文本的地方输入了js,并且被浏览器解析执行。
js可以获取cookie等敏感数据。因为http无状态,身份识别通过cookie来传递。