暴力破解，简称”爆破“。不要以为没人会对一些小站爆破。实现上我以前用 wordpress 搭建一个博客开始就有人对我的站点进行爆破。这是装了 WordfenceWAF 插件后的统计的情况。

说起文件上传漏洞 ，可谓是印象深刻。有次公司的网站突然访问不到了，同事去服务器看了一下。所有 webroot 文件夹下的所有文件都被重命名成其他文件，比如 jsp 文件变成 jsp.s ，以致于路径映射不到 jsp 文件，同事怀疑是攻击者上传了个 webshell 文件然后进行批量重命名了。

文件包含（file Inclusion）是一种很常见的攻击方式，主要是通过修改请求中变量从而访问了用户不应该访问的文件。还可以通过这个漏洞加载不属于本网站的文件等。下面一起来看看 DVWA 中的文件包含漏洞。

若有验证码的话，就比较难被攻击者利用 XSS 漏洞进行的 CSRF 攻击了，因为要识别验证码起码要调用api，跨域会被浏览器拦截，再者一些验证码很难被识别，比如知乎点击倒立的汉字，拖动拼图、百度的汉字验证码，谷歌的神奇的勾勾。。。 觉得这篇文章像是 CSRF 攻击 的一种补充（更像是谷歌验证码的使用教程，而且正常人的逻辑也不会犯这个问题的，其实可以跳过这篇文章）