1、IA(Initial Access)入口点

1)水坑攻击
思路的转变,攻击目标经常访问的站点,盗取用户信息·,或者引诱用户点击,从而盗取用户信息
攻击手法:
1、在页面嵌入存储型 XSS,获得用户 cookie 信息
2、供应链攻击 phpstudy后门事件
3、JSONP 水坑攻击
4、Adobe flash player 28(CVE-2018-4878)