摘要：我们知道，当服务器将数据发送给前段的时候，并不是所有的内容都会显现出来。部分内容并不会显示在浏览器当中，但是它确确实实的已经到了我们的客户端。这个使用可以通过firebug来搜索到我们需要的一些敏感信息。 比如： 我们通过抓包，查看，发现无论我们怎么切换用户，显现出数据，这个时候抓包软件都无法抓到数 阅读全文

摘要：在基于角色的访问控制方案中，角色代表一组访问权限和特权。可以为用户分配一个或多个角色。基于角色的访问控制方案通常由两部分组成：角色权限管理和角色分配。基于损坏的角色的访问控制方案可能允许用户执行他/她分配的角色不允许的访问，或者以某种方式允许将特权提升为未授权的角色。 总体目标： 每个用户都是一个角 阅读全文

摘要：什么是HTTP Splitting HTTP 拆分攻击又名CRLF注入攻击。即是发送一个或几个HTTP指令迫使漏洞服务器产生一个攻击者构想好的输出。可以让服务器误把几条HTTP请求。当作一次完整的HTTP请求来解释。攻击者完全控制第二条HTTP请求，在第二条请求中加入请求指令到目标系统。第一部分使服 阅读全文