Web 安全笔记

Web 应用安全相关的技术笔记和实战经验。

📚 内容概览

常见漏洞

• SQL 注入 (SQLi)
• 跨站脚本攻击 (XSS)
• 跨站请求伪造 (CSRF)
• 文件包含 (LFI/RFI)
• 文件上传漏洞
• 命令注入
• XML 外部实体注入 (XXE)
• 服务器端请求伪造 (SSRF)
• 不安全的反序列化
• 安全配置错误

攻击技术

• 身份认证绕过
• 授权漏洞利用
• 会话劫持
• 目录遍历
• API 安全测试
• WebSocket 攻击

🔍 SQL 注入

类型

1. 基于错误的注入
2. 联合查询注入
3. 布尔盲注
4. 时间盲注
5. 堆叠查询注入

基本测试

待补充...

🎯 XSS (跨站脚本)

类型

1. 反射型 XSS
2. 存储型 XSS
3. DOM 型 XSS

常用 Payload

待补充...

📁 文件包含

LFI (Local File Inclusion)

待补充...

RFI (Remote File Inclusion)

待补充...

📤 文件上传

常见绕过方法

待补充...

💉 命令注入

基本测试

待补充...

🔗 相关资源

• OWASP Top 10
• PortSwigger Web Security Academy
• HackTricks
• PayloadsAllTheThings

---

持续更新中...