摘要：1、安装sqlmap sqlmap是一款非常强大的开源sql自动化注入工具，可以用来检测和利用sql注入漏洞。注意：sqlmap只是用来检测和利用sql注入点的，使用前请先使用扫描工具扫出sql注入点。 它由python语言开发而成，因此运行需要安装python环境。它依赖于python 2.x , 阅读全文

摘要：WAF介绍 什么是WAF？ Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 浏览器向服务器发送请求的时候必须指明请求类型（一般是GET或者POST）。如有必要，浏览器还可以选择发送其他的请求头。大多数请求头并不是必需的，但Content-Le 阅读全文

摘要：XSS过滤的绕过 脚本标签 如果script被过滤的话，可以使用伪协议的方法： <object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg== 其中PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg= 阅读全文