摘要： 注入漏洞一直是危害排名第一的，其中主要指SQl Inject漏洞 1.数字型注入 打开pikachu数字注入单元，我们查询一用brup suite抓包发送到repeater模块分析，发现这是个post提交，我们没法使用url注入 我们直接修改包的参数注入，修改id=1 为 id = 1 or 1=1 阅读全文

摘要： CSRF简介 CSRF 是 Cross Site Request Forgery 的 简称，中文名为跨域请求伪造在CSRF的攻击场景中，攻击者会伪造一个请求（一般是一个链接）然后欺骗目标用户进行点击，用户一旦点击了这个请求，这个攻击也就完成了所以CSRF攻击也被称为“one click”攻击 CSR 阅读全文

摘要： 1.XSS盲打 打开pikachu xss盲打这一部分，我们发现在输入后，并没有为我们返回东西。似乎数据存入了数据库中，我们尝试在输入框中输入弹窗的js代码 提交后发现依然没有执行，说明代码没有在前端执行，然后我们根据右面提示，登录数据库查看一下 输入账号密码后我们进入数据库果然，代码在这里执行了， 阅读全文

摘要： 1.cookie获取（xss反射型get提交） 我们上次在xss反射型get提交中，通过在输入框内编写js代码<script>alert(‘xss’)</script>显示出了弹窗，我们可以利用这个漏洞，编写高级一些的js代码来获取cookie值 在pikachu中，为我们提供了一个平台，在pika 阅读全文