俺当日记写

1.whois查询2.备案信息查询。

一般都是浏览器周期性地从服务器获取一份最新的恶意网址黑名单，如果用户访问的网址在黑名单中，就会弹出一个警告页面。

就是能证明用户身份的生活特征或行为特征具有唯一性例：指纹 视网膜等生物特征声音、笔迹、签名等行为特征口令、密码等提供能识别自己身份的信息密码容易被遗忘或被窃取 身份可能会被冒充。

很多网站都有上传功能，利用网站上代码的缺陷（文件格式后缀的合法性校验或者是否在前端通过js进行后缀校验），上传恶意木马等恶意文件到服务器进行资源获取或者控制，用户上传一个可执行的脚本文件，并通过该文件获得执行服务器端命令的能力（该文件具有被服务器解析的能力）

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站和服务器的管理。正因如此，也有小部分人将代码修改后当作后门程序使用，以达到控制网站服务器的目的。顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作命令。

概述。

当进行黑盒测试往往你只有目标的一个ip地址或者一个域名而信息收集就是你利用你所有的资源对目标进行各种信息的搜集。

全概括

CSRF 漏洞（跨站请求伪造）：漏洞是由于未校验请求来源，导致攻击者可在第三方站点发起 HTTP 请求，并以受害者的目标网站登录态（cookie、session 等）请求，从而执行一些敏感的业务功能操作1.不攻击网站服务器2.冒充用户在信任网站工作3.攻击建立在浏览器与web服务器的会话中网站服务端没有对request做严格过滤引起1.会造成用户密码重置2.用户伪造1.get型csrf2.post型csrf代码：当访问这个页面时 及发送了一次http请求伪造URL请求利用代码 实现网页自动提交

一、通过xxs可以进行那些操作1.挂马当发现网站页面有xxs漏洞时，我们可以利用工具制作木马2.获取cookie写一段获取别人cookie的脚本，利用xxs插入到网页中，这样被人在登录时，代码就是被执行，cookie就会发送到我的邮箱里。恶意脚本代码插入JS代码实现网页跳转跳转个别页面 也会影响访问量在网页中插入视频，内网实现特殊效果这种方式不会使用简单的一句代码，要使 有真正的破坏性，会在使用来连接外部的脚本攻击者会使用恶意代码通过xxs漏洞获取用户cookie盗取用户的cookie 攻击