Web安全问答（1）

问：SQL注入

答：SQL注入就是利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力。SQL注入利用的是正常的HTTP服务端口，表面上看来和正常的Web访问没有区别，隐蔽性极强，不易被发现。问：什么叫Web应用系统？

Web安全问答（2）

问：XSS

答：跨站脚本攻击(XSS)是攻击者通过将其构造的恶意脚本提交到网页中，或者将加入恶意脚本的网页诱使用户打开，然后恶意脚本就会将用户与网站的会话Cookie及其它会话信息全部截留发送给攻击者，攻击者就可以利用用户的Cookie正常访问网站。攻击者有时还会将这些恶意脚本以话题的方式提交到论坛中，诱使网站管理员打开这个话题，从而获得管理员权限，控制整个网站。跨站脚本漏洞主要是由于没有对所有用户的输入进行有效的验证所造成的，它影响所有的Web应用程序框架。