Welcome To Myon'Blog !

Burte Force（暴力破解）概述“暴力破解”是一攻击具手段，在web攻击中，一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作。理论上来说，大多数系统都是可以被暴力破解的，只要攻击者有足够强大的计算能力和时间，所以断定一个系统是否存在暴力破解漏洞，其条件也不是绝对的。

目前来说，对抗CSRF攻击最简洁而有效的方法就是使用验证码。CSRF攻击是在用户不知情的情况下构造了网络请求，而验证码则是强制要求用户与应用程序进行交互，才能完成最终请求。当然，上面的这种URL看着太明显了，我们需要对恶意的URL进行一定处理，不被受害者察觉，最简单的方法就是进行短链接处理（有很多的在线网站），比如对。当用户随便访问了其中的一个链接，就会对用户信息的进行修改。

文档类型定义（DTD）可定义合法的XML文档构建模块，它使用一系列合法的元素来定义文档的结构，DTD 可被成行地声明于 XML 文档中，也可作为一个外部引用。DTD 可被成行地声明于 XML 文档中，也可作为一个外部引用。内部的 DOCTYPE 声明：假如 DTD 被包含在 XML 源文件中DOCTYPE 根元素 [元素声明]>外部文档声明：假如 DTD 位于 XML 源文件的外部DOCTYPE 根元素 SYSTEM "文件名">]>

file_get_contents() 函数用于将文件的内容读入到一个字符串中，和file() 一样，不同的是 file_get_contents() 把文件读入到一个字符串。关于第一题，curl包含了用于程序开发的libcurl，libcurl支持http、https、ftp、gopher、telnet、dict、file和ldap协议。，但又没有对目标地址做严格过滤与限制，导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。使用php://filter（用于读取源码）

XSS又叫跨站脚本攻击，是HTML代码注入，通过对网页注入浏览器可执行代码，从而实现攻击。​。domxss 的函数从具有 id 为 "text" 的元素中获取输入值，然后将其作为链接的 href 属性值插入到具有 id 为 "dom" 的元素的 innerHTML 中。尝试它给的payload：'>通过在链接的 href 属性中闭合单引号，然后插入一个图片元素，该元素的 onmouseover 事件触发一个弹窗，显