view_source ​ 根据题目暗示，猜测此题需要通过审查元素来得到Flag，进入场景界面后发现无法使用鼠标右键，应该是把右键的功能禁掉了，尝试用快捷键F12（审查元素）后，得到Flag。 ​ （亦或是用Burpsuite抓包，查看网页源代码得到Flag) get ...

simple_js ​ 这题主要考察简单的js代码审计，进入场景后，提示输入密码，这里我们先点击取消，然后查看JS代码： ​ 其中pass为假密码，真正的密码为String[“fromCharCode”]的内容，利用网上的工具将16进制转换为10进制后再根据ascii ...

·什么是PHP伪协议？ ​ 是PHP支持的封装协议，共有一下12种： file:// — 访问本地文件系统 http:// — 访问 HTTP(s) 网址 ftp:// — 访问 FTP(s) URLs php:// — 访问各个输入/输出流（I/O streams） zli ...

​ XSS(跨站脚本攻击)全称Cross Site Scripting,为了和层叠样式表（css）区分，故用XSS的缩写代替。XSS是目前较为普遍的Web安全漏洞，这类漏洞能够使得攻击者嵌入恶意的脚本代码到正常用户会访问到的页面中，当正常用户访问该页面的时候，则可以导致嵌入的恶意脚本代 ...

​ CSRF，全称（Cross Site Request Forgery 跨站请求伪造），是一种对网站的恶意利用，主要通过利用受害者尚未失效的身份认证信息（cookies，session等），诱骗其点击恶意的链接或者访问包含攻击代码的页面，进而达到非法操作的目的（比如转账，修改密码等。 ...