XSS 是跨站脚本攻击。它的本质是：用户输入被页面当作 HTML 或 JavaScript 执行，而不是当作普通文本显示。

最小例子

后端把用户输入直接输出到页面：

<div>欢迎你，用户输入</div>

SQL 注入的本质是：用户输入被拼接进 SQL 语句后，改变了原本的查询逻辑。

一个最小例子

后端代码如果这样写：

$id = $_GET["id"];
$sql = "select title, content from news where id = $id";

JWT 是 JSON Web Token，常用于在客户端保存登录状态或身份声明。CTF 里 JWT 题经常考"能不能伪造身份"，但前提是理解它的结构和校验方式。

JWT 的结构

一个 JWT 通常由三段组成，中间用点号分隔：

header.payload.signature

HTTP 是浏览器和服务器之间传递数据的协议。Web CTF 里，很多漏洞不是藏在页面文字里，而是藏在请求和响应的细节里。

HTTP 请求是什么

一次请求大致长这样：

GET /search?q=test HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0
Cookie: session=abc123

CSRF 是 Cross-Site Request Forgery，跨站请求伪造。它利用浏览器会自动携带登录态的特性，让受害者在不知情的情况下向目标站点发起操作请求。

CSRF 的核心条件

CSRF 成立通常需要三个条件：

用户已经登录目标站点。

浏览器会自动带上 Cookie 或认证信息。

CORS 是 Cross-Origin Resource Sharing，跨源资源共享。它决定浏览器中的脚本能不能读取另一个源的响应。

同源策略

浏览器有同源策略。

源由协议、域名和端口组成。

例如：

https://a.example.com:443

HTTP 本身是无状态的。服务器不会天然记得"刚才这个请求是谁发的"。Cookie 和 Session 就是用来维持登录状态和用户身份的机制。

Cookie 是什么

Cookie 是浏览器保存的一小段数据，每次请求同一网站时会自动带上。

例子：

Cookie: sessionid=abc123; role=user

现代 Web 应用越来越多地使用 API 前后端分离。CTF 中的 API 题不仅测试传统 Web 漏洞，还涉及 API 特有的安全问题：端点枚举、认证绕过、批量赋权、IDOR、速率限制绕过等。

REST API 是什么

REST（Representational State Transfer）是一种 API 设计风格。核心特征：

文件上传不是"把文件放到网站上"这么简单。一次上传通常涉及浏览器、HTTP 请求、服务端解析、文件保存、路径访问和后续执行权限。Web CTF 里的上传题，经常考这些环节之间的差异。

上传请求长什么样

文件上传常见请求类型是 multipart/form-data。它会把普通字段和文件字段分块发送。