摘要：XSS 原理： 程序对输入和输出没有做合适的处理，导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。 分类 ： 危害：存储型 > 反射型 > DOM型 反射型XSS：<非持久化> 交互的数据一般不会被存在数据库里面，一次性 ，所见即所得，一般出现在查询页面等 存储型XSS： 阅读全文

摘要：CSRF 原理： CSRF攻击利用网站对于用户网页浏览器的信任，挟持用户当前已登陆的Web应用程序，去执行并非用户本意的操作。 CSRF和XSS的区别： CSRF是借用户的权限完成攻击，攻击者并没有拿到用户的权限，而XSS是直接盗取到了用户的权限，然后实施破坏 XSS利用用户对网站的信任，CSRF利 阅读全文

摘要：SQL注入 原理：通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，它目前是黑客对数据库进行攻击的最常用手段之一。 知识点 Mysql5.0以上版本存在information_schema系统数据库中存放所有的数据库的相 阅读全文

摘要：暴力破解 原理：攻击者使用自己的用户名和密码字典，一个一个去枚举，尝试是否能够登录。因为理论上来说，只要字典足够庞大，枚举总是能够成功的！ 一、准备工作 设置浏览器代理 二、基于表单的暴力破解 在表单中输入数据提交表单，使用Burp Suite抓包 抓包，提交方式为POST请求，账号为admin，密 阅读全文