懒大王920

这篇文章主要记录一个大米cms系统靶场的漏洞挖掘过程，记录一些功能点可能出现的漏洞和个人挖掘漏洞的思路。

木马绕过原理其实就是把敏感的字符通过各种方式进行拼接重组来欺骗防御系统，比如字符串拼接、动态函数、进制转换等方式修改关键字。

DOM，全称“DocumentObjectModel（文档对象模型）”，它是由W3C组织定义的一个标准。前端开发页面时，要改变页面的某个元素，就需要通过DOM来实现。

存储型xss漏洞又称为持久型xss漏洞，该漏洞出现的原因主要是对用户输入的信息数据未进行安全过滤，从而使得用户输入的恶意脚本保存到了服务器的数据库或文件中。

主要介绍一些php魔术常量、预定义常量、超级全局变量以及一些流程控制语句的小练习和循环语句的小练习。

反射型XXS是一种非持久性的攻击,它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码被执行。

类是一种数据结构，可以用它来定义对象，对象把数据值和行为特性融合在一起。类是现实世界的抽象的实体以编程形式出现，实例是这些对象的具体化。

token概念：token是对session的一个升级，解决了前后端分离的session不能共享的一个难题

今天的pikachu实验是验证码绕过，分别是基于纯前端的验证码和涉及到后端验证的验证码，找到可以利用的漏洞。