CSRF 跨站请求伪造，本质来说就是在你访问网站信息的同时，盗用你的cookie，用你的身份进行一些非法操作。 Low基本逻辑是修改密码的请求参数都写进了 url 中， 我们需要构造一个修改密码的 url 然后发给其他人， 服务器就会验证他

命令注入指在应当输入数据的地方输入执行了代码。 Low输入你要 Ping 的 IP 地址， 但是对其没有进行任何检查， 可以在后面接上任何命令 Medium观察代码， 发现对于 && 和 ; 添加了转义， 所以使用 &am

在MYSQL5.0以上版本中存在自带数据库information_schema，他是一个存储所有数据库名，表明，列名的数据库，相当于可以通过查询此库获得相应信息。

暴力破解基本逻辑是使用弱密码和枚举法， Low在 low 模式下进行攻击获取流程为， 首先发送验证信息并进行抓包， 然后使用 Intruder 进行爆破。 Medium使用了符号转义， 可以防止 sql 注入， 不影响我们直接爆破。 H

靶场是一种用于模拟真实网络环境以进行安全测试、培训和研究的平台。一般具有模拟网络环境， 提供攻击工具， 监控评估的功能。 DVWA 一共包含了十个攻击模块，分别是：Brute Force（暴力（破解））、Command Injection

云原生(CloudNative)

YAMLYAML (YAML Ain’t Markup Language)是一种人类可读的数据序列化格式,常用来表示配置文件。 在Go中,使用’gopgk.in/yaml.v3’包来解析YAML文件。 YAML格式可见 菜鸟教程-

术语set Vulnerability, vuln, 0day, 1day, nday CVE 漏洞百科全书 MITRE 公司， CNA， CVSS， POC， Exploit, exp, metasploit exploit da