DuK

摘要： 一、基本认识 首先，我觉得有必要记住CSRF的全名——Cross Site Request Forgery(伪造)。顾名思义，也就是在a.com可以执行（发送）b.com的请求，例如请求b.com删除某个数据。 1.1 cookie csrf很多时候都与cookie挂钩（如果不需要cookie策略， 阅读全文

摘要： 一、区别 命令注入：直接执行系统中的指令 代码注入：靠执行脚本来调用系统命令 二、命令连接符 符号 说明 注 ; 前后命令依次执行 注意前后顺序，若更变目录，则必须在“一句”指令内 || 前命令执行失败后才执行后命令 - && 前命令执行成功后才执行后命令 - & 前台执行后任务，后台执行前任务 如 阅读全文

摘要： 一、web应用程序技术 1.1 HTTP HTTP（超文本传输协议）：起初是为获取基于文本的静态资源而开发的简单协议，后来加以扩充。 （标准的HTTP协议）无状态协议：协议对于事务处理没有记忆能力，其实就是啥会话也不存，走一步算一步，不知道之前走了哪些路，也不知路在何方（参考），这，可不好，所以后来 阅读全文