XXE 是 XML External Entity，XML 外部实体注入。它发生在 XML 解析器允许解析攻击者控制的外部实体，从而读取文件、发起请求或造成其他副作用。

一句话判断

只要接口、上传文件或业务协议会解析攻击者可控 XML，并且解析器允许 DTD 或外部实体，就要怀疑 XXE。

XSS 是跨站脚本攻击。它的本质是：用户输入被页面当作 HTML 或 JavaScript 执行，而不是当作普通文本显示。

最小例子

后端把用户输入直接输出到页面：

<div>欢迎你，用户输入</div>

一句话判断

当基础 <script>alert(1)</script> 不再生效，但页面仍存在可控 HTML、危险 DOM Sink、弱 CSP、JSONP callback 或浏览器解析差异时，就进入 XSS 进阶排查。

一句话判断

当页面通过 ws:// 或 wss:// 建立长连接，并且登录态、权限、业务动作或用户输入都放在 WebSocket 消息里处理时，就要把它当成独立攻击面分析。

WebSocket 不是“升级后的 HTTP 就安全了”。它的握手走 HTTP，但漏洞常发生在 Origin 校验、连接认证、消息格式、状态同步和服务端对每条消息的授权检查上。

SSTI 是 Server-Side Template Injection，服务端模板注入。它发生在用户输入被当成模板表达式解析，而不是被当成普通文本显示。

一句话判断

如果输入 {{7*7}}、${7*7}、<%= 7*7 %> 这类表达式后，响应里出现计算结果或模板报错，就要怀疑服务端模板注入。

SSRF 是 Server-Side Request Forgery，服务端请求伪造。它的核心不是"访问一个 URL"，而是让服务器替你去访问攻击者指定的地址。

一句话判断

只要题目让你提交 URL、图片地址、Webhook、远程导入地址或截图地址，并且响应像是由服务器访问目标后返回的，就要优先怀疑 SSRF。

SQL 注入的本质是：用户输入被拼接进 SQL 语句后，改变了原本的查询逻辑。

一个最小例子

后端代码如果这样写：

$id = $_GET["id"];
$sql = "select title, content from news where id = $id";

二次注入

二次注入是指恶意数据先被安全地存入数据库，后续读取使用时未转义导致注入。

场景：
1. 用户注册时输入用户名: admin'--
2. 注册时使用了参数化查询，安全存入数据库
3. 用户修改密码时，代码从数据库读取用户名构造 SQL
4. SQL 变成: UPDATE users SET password='new' WHERE name='admin'--'
5. 实际修改的是 admin 的密码

OAuth 2.0 基础

什么是 OAuth 2.0

OAuth 2.0 是一个授权框架，允许第三方应用获取用户资源的有限访问权限，而不需要暴露用户凭证。

OAuth 2.0 角色

Resource Owner：资源拥有者（用户）
Client：客户端（第三方应用）
Authorization Server：授权服务器
Resource Server：资源服务器

JWT 是 JSON Web Token，常用于在客户端保存登录状态或身份声明。CTF 里 JWT 题经常考"能不能伪造身份"，但前提是理解它的结构和校验方式。

JWT 的结构

一个 JWT 通常由三段组成，中间用点号分隔：

header.payload.signature