???????????????????????????????????????????????????????????????????????????????磬?????跨?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????в??????????????????????????????????????????????????????????????????????????????????

????????????????????????????????????????????????б????????????????????????? ?? ????????????????????????????? ??????????????????????????????????? ??

????????????????У???????????????????????????????????????????????????????????????????????????????????κη??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

?????????????????????????Щ??????γ???????????????

1.???????й?

???????????????web???????????????????????????????????÷?Χ??????????URL????????????????????????????????????????????????

web???????????????????????£???????????????????????????????????????????????????????????????test???????????????棬logs??????????Щ??????????????????????????????????в2?????γ??????????????????????????????????

2.????????

Web??ó????????????????????????????Щ?????????????????????Щ?????????????????web??ó???????????????web?????????????????????????????浽?????????????н????????????Web??????????????в??

??SQL???????/xxx.jsp?id=1??/xxx.jsp?id=1 and 1=1?????????в????/xxx.jsp?id=1 and 1=2?????????????????п??????SQL Injection??????????????????mysql??????????/xxx.jsp?id=1 and (select SUBSTRING((select user from mysql.user limit 1)??1??1))=??a???????????????????????????

XPath???????????????SQL???XPath?????XML???????????XML?????????????????????????????????????XML?????????/xxx.jsp?id=1?? and ??1??=??1??

??????????????·????????????????·??????..?????????????????????????????web??Χ????????????????е??????????

XSS????Reflected XSS?????????????????????XSS??URL?????????Щ???????????????????????Stored XSS?????????XSS????????????????????У????????????????????????????????????????????????????棬????????????DOM-based XSS??????Reflect XSS?????????????ó??????????е?????????????url?/xxx.jsp??name=yyy????????????????У??????JavaScript?????????window.execScript(getUrlParam(??name??))????????????????????????????С?

???????????????????????????????session id?????????????????????

3.????

CSRF?????????????????????????A?????????????????????????????????棬??????A???????????????????????????locate??A?????????????????????????????????????????????????????????????????????????????????緢????????????????????????????????????????????????????????????α??????????????????????????????ɡ?

Phishing????????????α?????????????????????????????

DoS????仰????????????????????????????????????????????

 ??????????????????????????????????????Щ??????????????????Щ?????д??????о??????????fighting??

????????????????????????????????д??????????????лл^_^