分享自 GitHub

基本上覆盖了去年一年安全领域的最新前沿技术和重大安全事件。

常见漏洞包括：SQL注入攻击、XSS攻击、SSRF攻击、CSRF攻击、文件上传漏洞、信息泄露、越权、设计缺陷，我们如何进行防御？

XSS 指的是：黑客通过 “HTML 注入 ” 篡改网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击 。 getQueryStringArgs() 函数会获取 URL 请求中的查询字符串。具体实现请点击。 write() 方法会向文档中写入 HTML 表达式或…

完成具体功能的恶意脚本（javaScript、Flash 等）称为 XSS Payload。黑客会通过这些脚本，来控制用户的浏览器。劫持 Cookie 就是一种 XSS Payload。 Cookie 中，一般加密存放着当前用户的登陆凭证。如果 Cookie 被劫持，那么黑客就…