NO.1
1、当我们向一个网站写Shell的时候,我们需要(root/写)权限,而且要知道(网站的物理)路径,同时(单引号)不能被过滤。
2、CentOS中定时任务的路径为:/var/spool/cron/root
3、Metasploit在获取到目标系统的shell之后使用(getsystem)命令可以一键提权到系统权限。
4、可以有效防护XSS的一条安全策略是(CSP内容防护策略)
5、json的content-type是(application/json)
No.2
1、Nmap中直接写shell的命令参数是(--os-shell)
2、GPC会过滤的四中特殊符号分别是(单引号、双引号、反斜杠,NULL)
3、例如存在http://www.test.com/test.php?id=x的这样的一个网页,你觉得这里可能会存在那种漏洞?
SQL注入、越权、CSRF