常见漏洞

• 1.任意重定向；
• 2.点击劫持；
• 3.XSS；
• CSRF；

任意重定向与跳转

漏洞定义 ：

Web应用程序经常将用户重定向和转发到其他网页和网站，并且利用不可信的数据去判定目的页面。

如果没有得到适当验证，攻击者可以重定向受害用户到钓鱼软件或恶意网站，或者使用转发去访问未授权的页面。

任意重定向漏洞成因 ：

任意重定向漏洞防御

ž限制重定向范围（白名单） žt.cn，内部引入URL安全扫描（黑名单）

点击劫持

clickjacking，也被称为UI-覆盖攻击。这个词首次出现在2008年，是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。

它是通过覆盖不可见的框架误导受害者点击。

虽然受害者点击的是他所看到的网页，但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。

XSS漏洞—最常见的漏洞

当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器，这就会产生跨站脚本攻击（简称XSS）。

XSS允许攻击者在受害者的浏览器上执行脚本，从而劫持用户会话、危害网站、或者将用户转向至恶意网站。

ž本质是浏览器端代码注入，恶意script代码被浏览器解析。 ž分类：反射、存储 žscript：JS、VBScript、flash、ie的css