WebGoat 源码，实用时要解压放在tomcat apache-tomcat-6.0.37\webapps 目录下，实用说明请下载我的资源“webgoat中文课程.pdf” 很好的资源，是理解攻防技术的最好的资料。

CSRF跨站请求伪造，使用OWASP CSRFTester工具可以抓取并伪造请求，其测试原理是，使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息，通过在CSRFTester中修改相应的表单等信息，重新提交，相当于一次伪造客户端请求，如果修改测试的请求成功被网站服务器接受，则说明存在CSRF漏洞。

1、文件上传（File Upload）是大部分Web应用都具备的功能，例如用户上传附件、修改头像、分享图片/视频等 2、正常的文件一般是文档、图片、视频等，Web应用收集之后放入后台存储，需要的时候再调用出来返回 3、如果恶意文件如PHP、ASP等执行文件绕过Web应用，并顺利执行，则相当于黑客直接拿到了Webshell 4、一旦黑客拿到Webshell，则可以拿到Web应用的数据，删除Web文件，本地提权，进一步拿下整个服务器甚至内网 5、SQL注入攻击的对象是数据库服务，文件上传漏洞主要攻击Web服务，实际渗透两种相结合，达到对目标的深度控制

web安全技术-实验七、跨站脚本攻击（xss）（反射型）

免责申明：所供资料仅供学习之用，任何人不得将之他用或者进行传播，否则应当自行向实际权利人承担法律责任。 阐述了XSS的基础知识,剖析了XSS的攻击原理与危害. 讲解了XSS测试工具,发掘XSS漏洞技术,XSS Worm防御,Flash应用安全

一个php做的简单的银行管理系统，利用cookie值来达到跨站伪造请求的目的，最终造成银行账户余额被修改。

先到先得(*^_^*)

XSS跨站脚本PPT--Web安全技术主要包括如下三大类： Web服务器安全技术 Web应用服务安全技术 Web浏览器安全技术

第4章 4.WEB安全性测试--跨站攻击.mp4

CSRF跨站请求伪造CSRF PHP demo代码，带数据库，2021年5月4日，亲测可以运行