• burp suite

• nmap扫描端口服务

  xss

  

• html5的history.pushState隐藏payload

• 存储型

• 反射型（诱导点击）

  盲打平台

• beef

  xss预防

• 字符转义

• 浏览器csp：加载白名单

安全

csrf预防

• 验证码
• http referer
• token机制

Cross Site Request Forgery (CSRF) for Servlet Environments :: Spring Security

检测工具

• csrfTester
• csrf scan

  jsonp返回自定义函数名也可能xss

sql注入

工具：sqlmap

dns放大

fastjson

fastjson反序列化漏洞演示加详细讲解加原理_哔哩哔哩_bilibili