HTTP 与 HTTPS HTTPHTTP，全称 HyperText Transfer Protocol，中文名称超文本传输协议，传统的 web 站点都是建立在 HTTP 协议基础上进行通信的，我们访问某些站点时，首先通过该协议传输生

SQL 注入攻击 简介SQL 注入攻击是黑客对数据库进行攻击的常用手段之一，不论是在 WEB 领域还是其它领域。攻击发生的原因依然是信任问题，开发人员信任用户输入，未对用户输入进行合法性检查，使应用程序存在安全隐患。譬如最常见的搜索功

使用 md5 加密存储不安全怎么解决md5 是一种常见的非对称加密算法，一般通过加密后的 md5 值获取到原始的字符串并不容易。但是通过彩虹表（将常见密码及其 md5 值对应表预先计算好），可以快速查询到表中的 md5 对应的原文。解

密码重置逻辑一码多用（验证码未绑定手机号）验证码回显前端修改密码未确认用户身份验证码不失效本地验证的绕过修改接收的手机或邮箱跳过验证步骤支付逻辑漏洞https://www.jianshu.com/p/8ca02b6de053 密码重置漏

同源策略 定义不同源的页面之间，不准互相访问数据。这是浏览器故意设置的一个功能限制。 源window.origin 或 location.origin 可以得到当前源 浏览器规定如果 JS 运行在源 A 中，那么就只能获取源 A 的数

抓包首先我们这里的要准备一个安卓模拟器，这里我用的雷电模拟器，这个也可以用其他的模拟器可以自行选择。 在模拟器上下载微信并登录之后找到对应的⼩程序点击打开即可（因为兼容性问题，在 安卓模拟器中微信⼩程序可能会闪退，但这并不影响后续操作

分析工具：Wireshark,在线解密网站 蚁剑的流量特征 UA：antSword/v2.1 请求数据：key=(一段加密的内容) 返回数据通常为请求数据解密后执行的命令 实例：如图，根据 HTTP 流分析，U

场景 1输入法一定是安全的吗？在之前也曾曝出不少输入法搜集用户信息获取照片权限，通讯录权限，等。 试想一下当你使用某种聊天工具，在跟朋友探讨一件商品，过了一会儿，在某度，某宝，某东可能就推荐了。 发现呢是已经推送了，神奇的输入法 场

文件上传漏洞 简介文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令（webshell）的能力。文件上传在互联网应用中是很正常的需求，问题不是出现在需求上，而是在文件上传服务器后服务器如何处理、解析

跨站脚本攻击 跨站脚本攻击跨站脚本攻击（Cross-Site Scripting,XSS）是指通过存在安全漏洞的 Web 网站注册用户的浏览器内运行非法的 HTML 标签或 JavaScript 进行的一种攻击。当被攻击者登录到存在恶