【安全day_01】

1伪装 2捆绑 3免杀 4上线@软件打包流程

基础模块（html/js/php/python/java/mysql/redis/linux相关/shell/iptables/awk）@安全基础目录
web漏洞模块（xss/sql/inject/include/ssrf/CSRF/…)
内网渗透（黄金白银票据/NTML RELAY/在域下委派攻击非委派/横向渗透等/代理）
应急响应（Windows、linux响应）
高级知识点（python编写一些简单安全工具/java/php反序列化，木马查杀）
中间件漏洞（apache/nginx/tomcat/docker/k8s）
CTF题目讲解（）
#软件逆向
环境WAMP、LAMP
Windows Linux Apache MySQL PHP
xss反射型漏洞，存储型漏洞

xss-leaks：新颖，超时代，查询字符

cookie：
seesion：平行权限漏洞 逻辑漏洞
seesion：用户名+邮箱+登陆时间
uid

csp是防止xss攻击的重要手段
内容安全策略 (CSP) 是一个额外的安全层，用于检测并削弱某些特定类型的攻击，包括跨站脚本 (XSS (en-US)) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件，这些攻击都是主要的手段。

href里面放的url地址，所以遵循urlcode@web基础

div盒子

web前端
a标签 超链接，可以跳转想去的网站
href和target两个
href定义想去的地址，记住必须写好协议，例如http，https或ftp等
img：向页面嵌入图片
src图片地址，有相对路径、绝对路径 alt图片出错后的提示信息 onerror：图片不存在时报错
p：块级元素，独占一行
span：行级元素，写满一行才进行换行

css三种写法
1内联样式，在HTML元素中使用"style" 属性；
2嵌套样式 ，在HTML文档头部 head 区域使用 style 元素 来包含CSS代码；
3外联样式，使用外部 CSS文件
id全局唯一性，class可以重复引用
self原窗口，blank新窗口
ul>li无序列表 ol>li有序列表
form表单
method（传参）方式有两种：get、post get：明文，在url地址栏显示
action提交地址：后端提交地址
type：规范输入格式
input输入框，行级元素
required布尔属性，是否为必填。
name：控件的名称，主要用于向服务器提交数据时，控件键值对的键名。注意，只有设置了name属性的控件，才会向服务器提交，不设置就不会提交
form：关联表单的id属性
disabled布尔属性，是否禁用该控件。一旦设置，该控件将变灰，用户可以看到，但是无法操作。
type：
text普通文本；
maxlength：可以输入的最大字符数；minlength：可以输入的最小字符数，
pattern：用户输入必须匹配的正则表达式，
placeholder：输入字段为空时，用于提示的示例值
size：表示输入框的显示长度有多少个字符宽
button：是没有默认行为的按钮
search：是一个用于搜索的文本输入框
submit：是表单的提交按钮
image：表示将一个图像文件作为提交按钮
reset;是一个重置按钮
checkbox:是复选框，允许选择或取消选择该选项
radio:是单选框，表示一组选择之中，只能选中一项
email:是一个只能输入电子邮箱的文本输入框
password:是一个密码输入框。用户的输入会被遮挡
file:是一个文件选择框，允许用户选择一个或多个文件，常用于文件上传功能
hidden:是一个不显示在页面的控件，用户无法输入它的值，主要用来向服务器传递一些隐藏信息。比如，CSRF 攻击会伪造表单数据，那么使用这个控件，可以为每个表单生成一个独一无二的隐藏编号，防止伪造表单提交
br：换行
hr：分割线
strong：加粗
s：删除线
iframe：网页中嵌入网页，可绕过xss验证
svg：画图
CSRF 攻击会伪造表单数据