可攻击的常见漏洞有:
1.Hidden 表单域
2.Cookie (用Paros之类的代理服务器可以拦截请求并修改Cookie值)
3.Session-ID
4.URL参数
5.服务器为了防止攻击,可能会对上述值进行HASH/加密。但攻击者可以想办法找出服务器使用的Hash/加密算法,比如有的服务器会用简单的Base64编码
6.绕开javascript校验和ActiveX的操作
7.反编译Applet 或 Flash
防御招术:
1.尽量不要把敏感数据传到客户端。比如说“价格”,总是可以从数据库里拿的,没必要传到客户端
2.服务端总是要去校验
3.当服务端发现攻击时,应该记下日志,有必要的情况下还要通知管理员,并且冻结用户的账户等等。