@

目录

• 初识HTML潜在漏洞
• 初识CSS潜在漏洞
• 初识JS潜在漏洞
• 初识后端潜在漏洞
  • 后端能做什么
  • 后端种类
  • 后端框架
  • 潜在漏洞

---

本系列文章只叙述一些超级基础理论知识，极少有实践部分

本文涉及到的语言需自行掌握

初识HTML潜在漏洞

HTML指的是超文本标记语言（Hyper Text Markup Language）

DOM（Document Object Model）

纯HTML基本没有漏洞

和CSS结合的一个简单漏洞：Clickjack（点击劫持）

点击劫持（ClickJacking）是一种视觉上的欺骗手段。大概有两种方式，一是攻击者使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的iframe页面；二是攻击者使用一张图片覆盖在网页，遮挡网页原有位置的含义

初识CSS潜在漏洞

CSS指的是层叠样式表（Cascading Style Sheets）

纯CSS基本没有漏洞

CSS潜在漏洞：利用img标签src会发送网络请求的特性，监听键盘输入

https://github.com/maxchehab/CSS-Keylogging

初识JS潜在漏洞

JS能做什么：

文件操作

HTML操作

DOM操作

Cookie操作

数据操作

纯JavaScript漏洞很多，包括但不限于：XSS

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

这一次，彻底理解XSS攻击

初识后端潜在漏洞

后端（Back-End）用户直接看不到的跑在服务器上的一个应用程序。

文件操作

数据库操作

等

PHP

Java

Python

C/C++/C#

等

什么是框架：

• 快速开发，低耦合，便于维护，就是方便简单，类似在操作系统上面写代码

ThinkPHP

SSH

Django

权限鉴权

SQL注入

逻辑漏洞

等