1.输入框
sql注入
测试直接在输入框输入1' ,看sql会不会拼接出错
xss攻击 csrf攻击
测试直接在输入框输入
<script>alert(123)</script>
提交后展示的信息 有没有对其实例化
csrf类型
''<a>钓鱼</a>
'<a>钓鱼</a> 提交 看页面解析是否变成代码取执行了
例子:
input框是get的请求方式,数据会在请求栏里面,修改了url值对应的参数
如果把a标签的地址变成 自己写好逻辑的服务器地址,别人点击url获取对方的数据
2.地址
查看修改值 是否可以写入html标签 来钓鱼csrf攻击
如:
然后把这个地址给别人 a标签链接可以换成自己写好程序的链接,然后用户点击了就执行了我写的程序了
有空试一下,这个应该要写js进去 参考
有空研究下
也可以在地址后面写上
/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
试了火狐ok
看会不会执行 原理:http://www.w3school.com.cn/php/php_form_validation.asp