web常见漏洞简要

1.跨站请求伪造漏洞（CSRF）
首先属于代码执行漏洞，常被称为‘沉睡中的巨人’。
在理解CSRF原理之前，我们应该知道cookie和Session。
cookie：1.Cookie 是浏览器访问服务器后，服务器传给浏览器的一段数据。
2. 浏览器需要保存这段数据，不得轻易删除。
3. 此后每次浏览器访问该服务器，都必须带上这段数据。

Session：Session 是保存在服务器的内存中，服务器中的文本文件，是与cookie一 一对应的凭证。
session的内容包括用户的身份信息，登录信息，等等。

2.Server Get 伪造漏洞
流程： 外网 到 内网

3.代码执行漏洞
比如xss，sql注入

4.命令执行漏洞
可以执行cmd命令，使用系统函数或者命令的漏洞。

5.逻辑漏洞
常出现的商城订单，金额支付，用户登录注册
危害:任意修改支付金额；篡改用户密码，重置密码等。
6.越权访问漏洞
越权漏洞包括平行越权漏洞和垂直越权漏洞。

7.XML外部实体注入