摘要： 1. 定义 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统） SSRF 阅读全文

摘要： 1. 定义 CSRF定义： 跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF ， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 简单地说，是攻击 阅读全文

摘要： 1. 定义 在部分WEB应用里，应用程序会提供一些命令执行操作，如没有过滤好用户输入的数据，就有可能产生命令执行漏洞 从而执行有危害系统命令。 2. 漏洞类型 a. 代码审计方面的命令执行 一般涉及的函数如下： ${}执行代码 eval assert preg_replace create_func 阅读全文