摘要：PS：之前整理的十大安全风险里没有SSRF，只有CSRF，所以整理和写一下知识点，用来充实自己，以防不时之需。 SSRF（Server-Side Request Forgery），服务端请求伪造。一、定义 攻击利用了可访问Web服务器（A）的特定功能构造恶意payload；攻击者在访问A时，利用A的 阅读全文

摘要：TOP1-注入 当不受信任的数据作为命令或查询的一部分发送到解释器时，会发生注入漏洞，例如SQL，NoSQL，OS，LDAP注入（轻量目录访问协议），xpath（XPath即为XML路径语言，它是一种用来确定XML（标准通用标记语言的子集）文档中某部分位置的语言），HQL注入等。 危害如下： 注入可 阅读全文