摘要： Csrf：跨站请求伪造 （可用于制造蠕虫） 原理：利用用户已经登录的身份在其不知情的情况下以用户的名义完成非法操作（构造非法网页发送给被攻击者） 点击劫持 特点：嵌套 内部不可见 通过覆盖不可见的框架舞蹈受害者点击而造成的一种攻击行为 隐蔽性高 骗取用户操作 Ui-覆盖攻击 利用ifreme标签或者 阅读全文

摘要： 代理工具： 1．Firebug：可调出更明显强大的开发者工具箱并且进行了详细的分类 2 . Hackbar：构造http请求以及各种编码变换的功能 Spcit url:分离url参数 Post datd：构造post方式的参数 Referrer：构造HTTP数据包的peferrer字段（referr 阅读全文

摘要： 第一章 css的基础概念 第二章 xss练习关卡 第三张 burpsuite 第一章 Xss就是css，跨站脚本攻击指的是攻击者往web页面插入恶意的js代码在用户浏览该网页的时候被插入了js的web网页会执行js代码，这样子去到达攻击者的目的 Xss漏洞的分类 存储型（持久型）常发生在留言板一类： 阅读全文

摘要： 一 1 指纹识别： Cms 网上平台云悉， 软件:御剑，whatweb 2 敏感目录： 暴力破解：御剑 爬虫：dirbuster 3 子域名爆破 www.Baidu.com 列如：admin.baidu.com 软件seay whois 二 信息泄露 1 SVN泄露 2 文件泄露 3 Git泄露 4 阅读全文

摘要： 一，常见术语 1，脚本（asp，php，jsp） 2，html（css静态脚本没有漏洞， js（Javascript 一种具备安全性的脚本语言 用它的目的是与HTML超文本标记语言、Java脚本语言(Java小程序)一起实现在一个Web页面中链接多个对象，与Web客户交互作用），html） 3，cm 阅读全文