弱弱的小雨鸟

CSRF（Cross Site RequestForgery），跨站请求伪造，是利用受害者尚未失效的身份验证信息，诱导其访问其他包含非法、恶意代码的页面，在受害者不知情的情况下向服务器发送请求，完成改密、转账等行为。跨站请求伪造是一种十分危险的Web安全攻击，利用的是网站对用户浏览器的信任，通常攻击者会通过电子邮件、聊天工具或者论坛来发送链接。如果使用不可见的img标签（宽高为0或者display

DVWA介绍DVWA（Damn Vulnerable WebApplication）是一个基于PHP和MySQL的Web应用，用于学习与审计Web漏洞、测试安全技能的工具，比如检查代码中是否存在SQL注入、XSS攻击等安全漏洞。 PHP环境部署因为DVWA是用PHP编写的，因此需要搭建PHP运行环境。常见的集成环境有phpStudy、XAMPP等，这里我使用的是phpStudy，其

暴力破解（Brute Force）的意思是攻击者借助计算机的高速计算不停枚举所有可能的用户名和密码，直到尝试出正确的组合，成功登录系统。理论上，只要字典足够大，破解总是会成功的。阻止暴力破解的最有效方式是设置复杂的密码（英文字母大小写、数字、符号混合）。而如果你的字典是从某网站泄露出来的，你使用它试图登陆其他网站，就便是撞库。撞库攻击的成功率高于暴力破解，因为你在A网站的用户名、密码通常和B网站的

正方教务管理系统作为正方软件的主打产品，从其官网了解到——截止至2012年10月，已有1,000余所高校使用了其数字化校园信息平台。从百度的最新检索结果也可见，成片成片的高校目前正在使用该教务系统。  经笔者测试，大多数高校的正方教务系统版本都存在该漏洞，在教务系统的网址后加上/log/2018-01-04-log.txt或者/log/2018-01-04-Errorlog.txt，便

命令注入（Command Injection），是指在某些需要输入数据的位置，还构造了恶意的代码破坏了原先的语句结构。而系统缺少有效的过滤，最终达到破坏数据、信息泄露甚至掌控电脑的目的。许多内容管理系统CMS存在命令注入漏洞。 解决乱码问题在文本框中输入”ip address”后结果显示为乱码，如下图所示。 解决此问题的方法：在DVWA-master\dvwa\includes