摘要：1.概述 CSRF跨站请求伪造(Cross-site Request Forgrey)，攻击者通过盗用合法用户身份，以用户名义去做一些非法操作，如利用账号发邮件，获取敏感信息甚至盗取个人财产等等。由于对攻击过程和原理认识模糊，有时我们常常将CSRF、XSS混为一谈。以下通过一个例子来认识CSRF的攻 阅读全文

摘要：1. 概述 跨转脚本攻击（Cross site script），为区分CSS层叠样式表，故称为XSS。XSS属于客户端攻击，通常指攻击者在网页中嵌入Javascritp编写的恶意代码脚本，当用户使用浏览器浏览被嵌入恶意代码的网站时，恶意代码将会在用户浏览器上执行并产生危害。 XSS漏洞常见的危害： 阅读全文

摘要：浅谈文件包含漏洞（附：靶场复现） 1. 概述 程序开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时候直接调用此文件，而无须再次编写，这种调用文件的过程称为包含。 程序员为了使代码更加灵活，经常将被包含的文件设置为变量，用来进行动态调用，但正是由于这种灵活性，从而导致客户端可以调用一个 阅读全文