总览 这个项目申请过软著了，我算是写在第一个的著作人，但是其实还是学长的贡献更大[捂脸]。 简单来说，这个项目在关联数据库的基础上，简单实现了围棋网站的前台后台管理，包含了围棋游戏，留言板，购物等等的功能，后台简单实现了管理员的分级以及信息管理。

总述 sql语言基础 SQL语言主要分为四部分：DML,DDL,DCL,TCL DML （Manipulation）用 于对数据库中的数据进行操作，主要包括插入（INSERT）、更新（UPDATE）、删除（DELETE）和查询（SELECT）数据。 INSERT INTO stude

Path Traversal 2 靶场 可以看到这里是让我们把文件上传到固定位置，先传一个试试 这里是把test文件传到了 C:\Users\Lenovo\.webgoat-2023.5\PathTraversal\cindahy 目标是C:\Users\Lenovo/.webgoat-2023.5

总结 这部分主要讲了一些基本操作和理论知识，包括代理拦截修改和开发者工具的使用 HTTP Basics 要求给出请求的这两项 直接看网页源码并且查找magaic 可以看到这里magicnum被设置成41,所以猜测magic number是41，成功提交

#验证码安全 分类：图片，手机或邮箱，语音，视频，操作等 原理；验证生成或验证过程中的逻辑问题 危害：账户权限泄露，短信轰炸，遍历，任意用户操作 漏洞：客户端回显（已讲），验证码复用，，验证码爆破（已讲），绕过等 #token安全 基于上述同理，主要是验证中可存在绕过可继续后续测试 token爆破

#找回重置机制 客户端回显（验证码显示在客户端），Response状态值，验证码爆破，找回流程绕过（抓包跳过验证流程）等 #接口调用乱用 来电轰炸，短信轰炸等 演示案例： 找回密码验证码逻辑-爆破测试-实例 墨者靶场密码重置-验证码套用-靶场 手机号码，新密码和验证码在同一界面， 填写手机号，得

总览 25年三月份的时候随便写的一个android游戏，在此做下记录 这个就搞了两天，算是一个尝试，当时觉得挺有意思的，其中的内容其实就是拼接怪[旺柴] 详细 首先一个进入页面

#登录应用功能点安全问题 检测功能点，检测，危害和修复方案 1.登录点暴力破解 burp字典加密爆破 2.HTTP/HTTPS传输 HTTPS数据传输加密 3.Cookie脆弱点验证 4.Session固定点测试 5.验证密文比对安全测试 #数据篡改安全问题 原理，检，危害，修复

#水平，垂直越权，未授权访问 解释，原理，检测，利用，防御等 通过某个ID之类的身份标识，从而使A账号获取（修改，删除）B账号数据 使用低权限身份的账号，发送高权限账号才能有的请求，获得其高权限的操作。 通过删除请求中的认证信息后重放该请求，依旧可以访问或者完成操作。 原理： 前端安全造成：界面

涉及资源 https://www.cnblogs.com/ermei/p/6689005.html http://blog.leanote.com/post/snowming/9da184ef24bd https://www.mozhe.cn/bug/detail/T0YyUmZRa1paTkJNQ