摘要： 所谓SQL注入（SQL Injection），就是利用程序员对用户输入数据的合法性检测不严或不检测的特点， 故意从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取想得到的资料。 相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断， 使应用程序存在安全隐患。如这是一个正常 阅读全文

摘要： 上两次中的csrf漏洞，都是未经加密的请求，可以直接通过点击链接或网站来修改信息。 这次我们来看加密的请求。 什么是带有token的请求， 表单提交过来的token值和Session中的token值作对比，他们的值不一样就不通过不会执行个人信息修改操作 我们想要成功利用csrf漏洞,就不能只单单局限 阅读全文

摘要： 上一次，我们试验了get型的csrf漏洞，get型漏洞比较好处理，只要构造链接，然后让别人 点击，就可以修改别人的东西，绕过登录权限。 这次，我们试验post型的漏洞，post型漏洞，虽然没有加密，但通过构造链接的方法，已经不行了 我们需要通过构建网站，然后让对方点击网站，就可以修改对方信息。 我们 阅读全文