推荐书籍: 《白帽子讲web安全》 --道哥
针对Web的攻击技术
(1) HTTP不具备必要的安全功能
(2)在客户端即可篡改请求
(3)针对Web应用的攻击模式
因输出值转义不完全引发的安全漏洞
(1)XSS跨站脚本攻击
(2)SQL注入攻击
(3)OS命令注入攻击
(4)HTTP首部注入攻击
(5)CSRF跨站请求伪造
(6)目录遍历攻击
(7)远程文件包含漏洞
因设置或设计上的缺陷引发的安全漏洞
(1)强制浏览
(2)不正确的错误消息处理
(3)开发重定向
因会话管理疏忽引发的安全漏洞
(1)会话劫持
(2)会话固定攻击
(3)跨站点请求伪造
其他的安全漏洞:
(1)密码破解
(2)点击劫持
(3)Dos攻击
(4)后门程序