XSS通过构造恶意语句获取对方cookie，

CSRF通过构造恶意链接利用对方cookie，但看不到cookie

XSS比CSRF更加容易发生，但CSRF比XSS攻击危害更大

XSS（Cross-Site Scripting，跨站脚本攻击）是一种常见的Web安全漏洞，攻击者可以通过注入恶意脚本，获取用户的敏感信息或者控制用户的浏览器。XSS攻击通常发生在网站中的表单、搜索框、评论等交互式页面中。

CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种常见的Web安全漏洞，攻击者利用用户已登录的身份，在用户不知情的情况下，向Web应用程序发起恶意请求，以实现攻击目的。CSRF攻击通常发生在网站中的表单、链接、图片等交互式元素中。

攻击者利用SQL语句或字符串将非法的数据插入到服务端数据库中，获取用户管理权限，然后将数据库管理用户权限提升至操作系统管理用户权限，控制服务器操作系统，

sql注入的关键字 →select ，union， where

**分类：**sql注入分为字符型和数字型。还可以将sql注入分为有回显的注入和无回显的注入，无回显的注入又别称为盲注，盲注有三大类，布尔盲注、时间盲注以及报错盲注；

绕过：大小写绕过 、注释绕过、关键字/关键函数替换、特殊符号

1、过滤，检查，处理

2、预编译sql语句

3、使用waf防火墙，安全狗，阿里云盾等waf进行防护

4、经常进行基线检查、漏洞扫描等工作

信息收集： 1、获取域名whois信息 2、服务器子域名、旁站、c段查询 3、服务器操作系统版本补丁状况、web中间件类型、版本、数据库类型等 4、服务器开放端口：22 ssh 80 web 445 3389.。。

漏洞扫描： nessus，awvs ，appscan

漏洞验证： 是否存在漏洞，是否可以拿到webshell或者其他权限 权限提升: windows内核溢出提权，数据库提权、组策略首选项提取、web中间件提权、dll劫持提权、第三方软件/服务提权 linux内核漏洞提权、劫持高权限程序提权、sudoer配置文件错误提权

漏洞利用：

日志清理：

IIS ,tomcat ，apache ，nginx

1、收集信息：搜集客户信息和中毒信息，备份

2、判断类型：判断是否是安全事件、是何种安全事件（勒索病毒、挖矿、断网、ddos等）

3、深入分析：日志分析、进程分析、启动项分析、样本分析

4、清理处置：杀掉恶意进程、删除恶意文件、打补丁、修复文件

5、产出报告：整理并输出完整的安全事件报告

一、查看系统账号安全

1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远程管理端口是否对公网开放 2、win+r（eventwmr.msc）查看系统日志，查看管理员登录时间、用户名是否存在异常

二、检查异常端口、进程 1、netstat -ano 检查端口连接情况，是否有远程连接、可疑连接 2、tasklist | findstr "PID"根据pid定位进程 3、使用功能查杀工具

三、启动项检查、计划任务、服务 1、检查服务器是否有异常的启动项，msconfig看一下启动项是否有可以的启动 2、检查计划任务，查看计划任务属性，可以发现木马文件的路径 3、见擦汗服务自启动，services.msc注意服务状态和启动类型，检查是否有异常服务

四、检查系统相关信息 1、查看系统版本以及补丁信息 systeminfo 2、查找可以目录及文件 是否有新建用户目录 分析最近打开分析可疑文件（%UserProfile%\Recent）

五、自动化查杀 使用360 火绒剑 webshell后门可以使用d盾 河马等

六、日志分析 360星图日志分析工具 ELK分析平台

1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号，主要看一下帐号后面是否是 nologin,如果没有 nologin 就要注意；

2、通过 who 命令查看当前登录用户（tty 本地登陆 pts 远程登录）、w 命令查看系统信息，想知道某一时刻用户的行为、uptime查看登陆多久、多少用户，负载；

3、修改/etc/profile的文件，在尾部添加相应显示间、日期、ip、命令脚本代码，这样输入history命令就会详细显示攻击者 ip、时间历史命令等；

4、用 netstat -antlp|more命令分析可疑端口、IP、PID，查看下 pid 所对应的进程文件路径，运行ls -l /proc/PID/exe 或 file /proc/PID/exe（$PID 为对应的pid 号）；

5、使用ps命令，分析进程 ps aux | grep pid

6、使用 vi /etc/inittab 查看系统当前运行级别，通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件；

7、看一下crontab定时任务是否存在可疑启用脚本；

8、使用chkconfig --list 查看是否存在可疑服务；

9、通过grep awk命令分析/var/log/secure安全日志里面是否存在攻击痕迹；

10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀；

11、如果有 Web 站点，可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数（evel、system、shell_exec、exec、passthru system、popen）进行查杀Webshell 后门。

拿到流量包后将其导入wireshark中，使用过滤规则对流量包进行分析

冰蝎是一款基于java开发的动态加密通信流量的新型webshell客户端，冰蝎的通信过程可以分为两个阶段：秘钥协商 加密传输