随着网民越来越习惯于网上购物，出现了越来越多的电商网站，在线交易平台等。
其中肯定要涉及在线支付的流程，而这里面也有很多逻辑。
由于这里涉及到金钱，如果设计不当，很有可能造成0元购买商品等很严重的漏洞。

有人的地方就有江湖。

互联网中，有用户注册的地方，基本就会有密码找回的功能。

而密码找回功能里可能存在的漏洞，很多程序员都没有想到。

WebDAV是一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法。

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。

弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的互联网账号受到他人控制，因此不推荐用户使用。

Rsync，remote synchronize顾名思意就知道它是一款实现远程同步功能的软件，它在同步文件的同时，可以保持原来文件的权限、时间、软硬链接等附加信息。
rsync是用 “rsync 算法”提供了一个客户机和远程文件服务器的文件同步的快速方法，而且可以通过ssh方式来传输文件，这样其保密性也非常好，另外它还是免费的软件。

当你看到一个参数的值是url的时候你会想到什么？
结合wooyun里的案例看，可能产生的危害分为三方面：

同源策略（Same Origin policy，SOP），也称为单源策略（Single Origin policy），它是一种用于Web浏览器编程语言（如JavaScript和Ajax）的安全措施，以保护信息的保密性和完整性。

同源策略能阻止网站脚本访问其他站点使用的脚本，同时也阻止它与其他站点脚本交互。

调用方式有三种：

1 用<style>
2 通过<link rel=stylesheet>，或者使用style参数。
3 XML（包括XHTML）可以通过<?xml-stylesheet href=...?>

URL格式：

scheme://[login[:password]@](host_name|host_address)[:port][/hierarchical/path/to/resource[?search_string][#fragment_id]]

http://192.168.136.131/sqlmap/mysql/get_int.php?id=1

当给sqlmap这么一个url的时候，它会：

即使是最普通的字母数字输入也可能是危险的，列举几个容易引起安全问题的字符：

! $ ^ & * ( ) ~ [ ] \ | { } ' " ; < > ? - `

默认存在的数据库：

Clickjacking（点击劫持）是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。
是一种视觉欺骗手段，在web端就是iframe嵌套一个透明不可见的页面，让用户在不知情的情况下，点击攻击者想要欺骗用户点击的位置。