最近一直在研究安全測試，感覺自己還沒有入門。不敢說是入門教程，本篇就是本人單純的一個筆記而已。

（心虛，來個圖鎮樓）

簡單說下一般的漏洞

Web應用漏洞：

1、SQL注入

2、XSS跨站指令碼（儲存+反射）

3、命令注入

業務邏輯漏洞：  

 1、支付漏洞

2、越權漏洞（垂直+水平） 

1.SQL注入：

1.1SQL注入概述

SQL注入是這樣一種漏洞：應用程式在向後臺數據庫傳遞SQL查詢時，如果為攻擊者提供了影響該查詢的能力，則會引發SQL注入。

1.2SQL輸入原理

使用者輸入資料，作為SQL語句執行

1.3漏洞型別及危害

漏洞型別：

a.布林型注入

b.時間延遲型注入

 c.報錯型注入

漏洞危害：

  脫褲，獲取伺服器許可權

1.4SQL注入實戰

2.XSS跨站指令碼（使用者輸入資料，作為HTML程式碼輸出到前端頁面執行）

2.1概述：

跨站指令碼(XSS)屬於瀏覽器前端攻擊方法中的一種，通常指的是惡意攻擊者往Web頁面裡插入惡意html程式碼，當用戶瀏覽該頁面時，嵌入Web頁面裡面的html程式碼會被執行。

2.2型別及危害：

XSS包括兩種型別：

       儲存性XSS：惡意程式碼持久儲存在伺服器上。

    反射式XSS：惡意程式碼不保留在伺服器上，而是通過其他形式實時通過伺服器反射給普通使用者。

XSS漏洞危害：

盜取使用者身份cookie, 劫持訪問，拒絕服務攻擊, 篡改網頁

       模擬使用者身份發起請求或執行命令

       蠕蟲，等等……