摘要：csrf全称 Cross-site request forgery 中文名称跨站请求伪造 攻击者欺骗浏览器，让其以受害者的名义执行自己想要的操作 打开dvwa，dvwa的csrf是一个修改密码的界面，有两个文本框，第一个是新密码，第二个是却确认新密码 low 我们先试着修改密码，查看一下效果，点击按 阅读全文

摘要：打开dvwa的命令注入（Command Injection） 命令注入的三个条件： 1.是否调用系统命令 2.函数或函数的参数是否可控 3.是否拼接注入命令（&&） dvwa的命令注入是一个人输入ip地址的提交框 接下来将对四个级别进行操作 low 首先随便输入一个ip，点击提交，出现了乱码。 解决 阅读全文