weixin_55762309的博客

XSS、XXE、XML的区别

反序列化漏洞原理详解

CSRF（即跨站请求伪造）是指利用受害者尚未失效的身份认证信息、（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害人的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（转账，改密码等）。

文件上传漏洞是指在Web应用程序中，攻击者可以利用漏洞绕过应用程序的文件上传验证机制，将恶意文件上传到服务器上的漏洞。文件上传漏洞通常是由于服务器端没有正确实施文件上传的安全措施造成的。常见的原因包括缺乏文件类型检查、缺乏文件大小限制、不正确的文件扩展名验证、不正确的目录权限设置等。攻击者可以通过绕过这些不足之处来上传恶意文件。

SQL（Structured Query Language，结构化查询语言）是一种用于管理关系型数据库系统的语言，它可以用于创建、修改和删除数据库中的表和记录，以及执行查询操作。简单易学：SQL语法相对简单，易于理解和学习。高效灵活：SQL可以执行快速和复杂的数据库操作，如插入、更新、删除和查询。标准化：SQL是一种标准化的语言，大多数关系型数据库系统都支持SQL。表达能力强：SQL支持各种复杂的查询和数据操作，可以根据需要进行数据的筛选、排序、合并等操作。

既然我们要学习 Web 安全，当然要简单的了解什么是 Web，Web 与现在与我们生活息息相关，上个网站浏览新闻，看个视频，或者说……(咳咳)。这其中涉及到几个基本的点，从通信，会接触到 URL，到协议，会接触到 HTTP，再到前后端的概念，前端即 HTML，CSS，JavaScript，三剑客。后端，即处理脚本语言，比如PHP，JAVA，python，SQL 等等，再细致的分还能分为很多，这是一个庞大的链路，我们先从简单的学起就好啦。那什么是 Web 呢？

网络安全练气篇——操作系统基础

网络安全练气篇——SQL基础

(外文名:PHP:Hypertext Preprocessor，中文名:“超文本预处理器”) 是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点，利于学习，使用广泛，主要适用于Web开发领域。用PHP做出的动态页面与其他的编程语言相比，PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用) 文档中去执行，执行效率比完全生成HTML标记的CGI要高许多，PHP还可以执行编译后代码，编译可以达到加密和优化代码运行，使代码运行更快。

定义渗透测试 (penetration test)是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种 评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可 能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。换句话来说，渗透测试是指渗透人员在不同的位置（比如从内网、从外网等位置）利用各种手段对 某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所 有者。

OWASP（开放式Web应用程序安全项目）是一个开放的社区，由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放，旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ，总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。最重要的版本应用程序中最严重的十大风险。

FTP服务的数据传输端口。