XXE 是 XML External Entity，XML 外部实体注入。它发生在 XML 解析器允许解析攻击者控制的外部实体，从而读取文件、发起请求或造成其他副作用。

一句话判断

只要接口、上传文件或业务协议会解析攻击者可控 XML，并且解析器允许 DTD 或外部实体，就要怀疑 XXE。

一句话判断

当页面通过 ws:// 或 wss:// 建立长连接，并且登录态、权限、业务动作或用户输入都放在 WebSocket 消息里处理时，就要把它当成独立攻击面分析。

WebSocket 不是“升级后的 HTTP 就安全了”。它的握手走 HTTP，但漏洞常发生在 Origin 校验、连接认证、消息格式、状态同步和服务端对每条消息的授权检查上。

SSTI 是 Server-Side Template Injection，服务端模板注入。它发生在用户输入被当成模板表达式解析，而不是被当成普通文本显示。

一句话判断

如果输入 {{7*7}}、${7*7}、<%= 7*7 %> 这类表达式后，响应里出现计算结果或模板报错，就要怀疑服务端模板注入。

SSRF 是 Server-Side Request Forgery，服务端请求伪造。它的核心不是"访问一个 URL"，而是让服务器替你去访问攻击者指定的地址。

一句话判断

只要题目让你提交 URL、图片地址、Webhook、远程导入地址或截图地址，并且响应像是由服务器访问目标后返回的，就要优先怀疑 SSRF。

OAuth 2.0 基础

什么是 OAuth 2.0

OAuth 2.0 是一个授权框架，允许第三方应用获取用户资源的有限访问权限，而不需要暴露用户凭证。

OAuth 2.0 角色

Resource Owner：资源拥有者（用户）
Client：客户端（第三方应用）
Authorization Server：授权服务器
Resource Server：资源服务器

什么是 HTTP 参数污染

HTTP 参数污染（HTTP Parameter Pollution，HPP）是指在 HTTP 请求中包含多个同名参数，利用不同服务器对重复参数的处理差异来绕过安全限制或改变应用行为。

为什么 HPP 能成功

不同 Web 服务器和框架对重复参数的处理方式不同：

文件包含漏洞发生在应用根据用户输入加载一个文件，并把文件内容当作程序、模板或页面片段处理。它常见于 PHP，也可能出现在模板系统、插件系统或动态路由中。

包含和读取的区别

文件读取只把文件内容返回给用户。

文件包含更危险，因为被包含的文件可能会被解释执行。

例如 PHP 中包含一个文件时，如果文件内容里有 PHP 代码，就可能被 PHP 引擎执行。

这就是为什么文件包含经常和上传漏洞、日志污染、临时文件结合。

LFI 和 RFI

LFI 是 Local File Inclusion，本地文件包含。

任意文件读取是指攻击者能让服务器读取不该暴露的文件。任意文件下载通常是这个问题在下载功能中的表现。

一句话判断

当用户可控的路径、文件名、文件 ID、预览地址或导出参数最终决定服务器读取哪个文件时，就要怀疑任意文件读取与下载。

命令注入发生在应用把用户输入拼进系统命令，并交给操作系统 shell 或命令执行 API 运行。它的关键不是"输入里有特殊字符"，而是用户输入改变了原本命令的结构。

命令执行从哪里来

Web 后端有时会调用系统命令处理任务，例如：

ping 一个地址
压缩或解压文件
调用 ImageMagick、ffmpeg、pandoc 等工具
执行备份脚本
检测域名或 IP
生成 PDF