web漏洞(CSRF-SSRF-文件包含-文件解释-文件下载-目录遍历-sql注入-文件上传-反序列化-XSS-XXE-RCE-逻辑越权)
1.CSRF(跨站请求伪造)(需要对方是在登录的情况下)--主要用于骗转账等等原理:A在已经登录了银行的网站,并且此时去访问了B所构造的网页添加了特殊代码,A点击了B,由于A已经登录了,就造成了A直接向B转账的情况检测:可以用bp抓包检测看看有没有设置Token值防御:设置随机Token(数据包的唯一值,用于标识数据包)设置Referer值,数据包来源(但是这个可以修改伪造Referer值进行绕过