問：SQL注入

答：SQL注入就是利用現(xiàn)有應用程序，將(惡意)的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力。SQL注入利用的是正常的HTTP服務端口，表面上看來和正常的Web訪問沒有區(qū)別，隱蔽性極強，不易被發(fā)現(xiàn)。問：什么叫Web應用系統(tǒng)？

Web安全問答（2）

問：XSS

答：跨站腳本攻擊(XSS)是攻擊者通過將其構造的惡意腳本提交到網(wǎng)頁中，或者將加入惡意腳本的網(wǎng)頁誘使用戶打開，然后惡意腳本就會將用戶與網(wǎng)站的會話Cookie及其它會話信息全部截留發(fā)送給攻擊者，攻擊者就可以利用用戶的Cookie正常訪問網(wǎng)站。攻擊者有時還會將這些惡意腳本以話題的方式提交到論壇中，誘使網(wǎng)站管理員打開這個話題，從而獲得管理員權限，控制整個網(wǎng)站?？缯灸_本漏洞主要是由于沒有對所有用戶的輸入進行有效的驗證所造成的，它影響所有的Web應用程序框架。