摘要：1、RCE概念 RCE（remote command/code execute），远程代码/命令执行。在Web应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一-些能将字符串转化成代码的函数时，没有考虑用户是否能控制这个字符串，将造成代码执行漏洞。同样 阅读全文

摘要：1、CSRF概念和原理 跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站 阅读全文

摘要：1、xss跨站原理 上传一个js写的脚本，浏览器会执行这个js脚本。 2、xss跨站类型 反射型：和服务器交互，不会存储到数据库中，可以自己写一个js的弹窗自娱自乐，危害不大。 存储型：和服务器交互，存储到数据库中，比如写一个js脚本到留言板中，其他人访问这个留言板时都是执行这个js脚本，危害比反射 阅读全文