什么是CSRF？ CSRF（Cross-Site Request Forgery）跨站请求伪造是一种网络攻击手段，攻击者通过诱导用户在已登录的 Web 应用程序中执行非预期的操作。用户在不知情的情况下，以自己的身份向服务器发送请求，而这些请求通常是由攻击者精心构造的恶意请求。 例如： ·用户登录信任网站A，并在本地生成cookie ·用户未登出网站A，cookie未失效 ·用户访问恶意网站B，该网…

简单的绕过方式 1.大小写绕过 针对后端匹配敏感字符是未考虑大小写语义相同的情况，比如<script>和<ScRiPT>这俩对于前端来说都一样，所以可以达到绕过的目的 <ScRipT>alert('1')<ScriPt> 2.双写绕过 针对后端对敏感字符进行了替换的情况，如将script替换可以以scrscriptipt来进行绕过 onclick--…

Level 1 第一关进入发现 通过URL发现是GET传参，参数为name= 附源码： <!DOCTYPE html><!--STATUS OK--><html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> <script>…

xss漏洞简介 XSS又叫CSS（Cross Site Script）跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。（恶意脚本注入到web页面中去）XSS漏洞通常发生在Web应用程序中，当应用程序未正确验证和过滤用户输入时，攻击者可以利用这个漏洞来注入恶意脚本。这可能导致用户受到欺骗、…

1xx Informational (信息性状态码) 1xx 状态码表示请求已接收，继续处理。 • 100 Continue：表示客户端应继续请求。如果已经完成请求的发送，可以忽略这个响应。 • 101 Switching Protocols：表示服务器正在根据客户端的请求切换协议。 • 102 Processing (WebDAV) ：表示服务器已接收到请求并正在处理，但无响应可用。 2xx S…

简单来说，localhost和127.0.0.1，都代表本机地址。 在物理机访问，就代表物理机。 在虚拟机访问，就代表虚拟机。 127.0.0.1是什么地址？ 127.0.0.1是一个特殊的局域网IPv4地址，被称为回环地址（loopback address）。当网络程序发送数据到这个地址时，是由本机接收处理的，所以叫做“回环”。 它的主要作用是：用来测试的本机网络是否正常。 如果ping这个地址…

常见的特殊文件夹与目录 admin/ upload/ download/ phpMyadmin/ manager/ /3/3/ index.php.bak .index.php.swp .DS_Store 常见的网站源码备份文件后缀 tar tar.gz zip rar 常见的网站源码备份文件名 web website backup back www wwwroot temp dirsearch(…