摘要：1、原理 跨站请求伪造（英语：Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF。是一种挟制用户在当前已登录的web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本（XSS)相比，XSS 阅读全文

摘要：1、原理 跨站脚本（英语：Cross-site scripting,通常简称为：XSS)是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的 阅读全文

摘要：1、原理 命令注入是一种攻击，其目标是通过易受攻击的应用程序在主机操作系统上执行任意命令。当应用程序将用户提供的不安全数据（表格、cookie、HTTP标头等）传递到shell时，可能会发生命令注入攻击。在这种攻击中，通常由易受攻击的应用程序以特权执行由攻击者提供的操作系统命令。由于没有足够的输入验 阅读全文

摘要：BurpSuite是一款功能强大的渗透测试工具。它是一个用于攻击web 应用程序的集成平台，包含了许多工具，如Proxy、Spider、Scanner、Intruder、Repeater、Sequencer、Decoder、Comparer等工具模块，并为这些工具设计了许多接口，以促进加快攻击应用程 阅读全文

摘要：1、常见的安全工具： OWASP ZAPWVSAppscanBurpSuitesqlmap 2、安全测试关注的维度 传输 敏感信息传递加密 链路加密 接口 访问控制 参数 注入： sql注入、命令注入、文件注入 越权：越过更高的权限，越过同级权限 3、业务安全常见的checklist 业务数据传输链 阅读全文

摘要：Sql注入（英文：SQL injection),是发生于应用程序与数据库底层的安全漏洞。简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序中忽略了字符检查，那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行，从而遭到破坏或入侵。 sql注入分类： 1 数据库类型注 阅读全文