https://www.freebuf.com/column/154670.html
https://www.0dayhack.com/post-834.html
https://www.freebuf.com/vuls/185380.html
1、漏洞挖掘原则:
所有变量:所有变量/提交的数据都要尝试
所有头:cookie的变量
逐个变量删除:筛选出服务器对哪些变量进行处理
2、漏洞的本质:
数据和指令的混淆(服务端对输入数据过滤不严格,对本来输入的数据却输入了指令,导致命令被执行)
对用户输入信息过来不严判断失误,误将指令当数据