概念：服务端在获取攻击者输入的ｕｒｌ时，如果这个过程中，服务端并没有对这个ｕｒｌ做任何的限制和过滤，那么就很有可能存在ｓｓｒｆ漏洞。 漏洞利用：...

漏洞原理： csrf全名为跨站请求伪造，是一种对网站的恶意利用，虽然听起来和xss很像，但是它们俩还是有很大的区别的。csrf是通过伪造来自受信...

原理：文件上传漏洞是指在需要上传文件的地方没有对上传的文件的格式进行过滤限制，从而导致恶意用户上传恶意文件，getshell。防御：设置白名单，...

原理： 由于开发人员在编写源代码时，没有对源代码中可执行的特殊函数入口做过滤，导致客户端可以提交一些cmd命令，并交由服务器程序执行。导致攻击者...

Low等级 抓包 正常跳转 在这里我们把密码改为qwer 成功进入了DVWA CSRF Medium等级： 开始，抓包 很显然，网站对refer...

DVWA--XSS解题过程 XSS****概念：通常指黑客通过HTML注入纂改了网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻...