CSRF 跨站请求伪造，本质来说就是在你访问网站信息的同时，盗用你的cookie，用你的身份进行一些非法操作。 Low基本逻辑是修改密码的请求参数都写进了 url 中， 我们需要构造一个修改密码的 url 然后发给其他人， 服务器就会验证他

命令注入指在应当输入数据的地方输入执行了代码。 Low输入你要 Ping 的 IP 地址， 但是对其没有进行任何检查， 可以在后面接上任何命令 Medium观察代码， 发现对于 && 和 ; 添加了转义， 所以使用 &am

暴力破解基本逻辑是使用弱密码和枚举法， Low在 low 模式下进行攻击获取流程为， 首先发送验证信息并进行抓包， 然后使用 Intruder 进行爆破。 Medium使用了符号转义， 可以防止 sql 注入， 不影响我们直接爆破。 H

靶场是一种用于模拟真实网络环境以进行安全测试、培训和研究的平台。一般具有模拟网络环境， 提供攻击工具， 监控评估的功能。 DVWA 一共包含了十个攻击模块，分别是：Brute Force（暴力（破解））、Command Injection

术语set Vulnerability, vuln, 0day, 1day, nday CVE 漏洞百科全书 MITRE 公司， CNA， CVSS， POC， Exploit, exp, metasploit exploit da