web学习（2019-10)

@“fuzz一下”：所有注入爆破题/其他题，必fuzz

在安全测试中，模糊测试（fuzz testing）是一种介于完全的手工渗透测试与完全的自动化测试之间的安全性测试类型

模糊测试（fuzz testing）是一种安全测试方法，他介于完全的手工测试和完全的自动化测试之间。为什么是介于那两者之间？首先完全的手工测试即是渗透测试，测试人员可以模拟黑客恶意进入系统、查找漏洞，这对测试人员的要求比较高。能力强的测试人员可以发现比较多或者高质量的安全性问题，但是如果测试人员的能力不够，可能就不能找到足够多、威胁大的安全漏洞。所有渗透测试对人员能力的依赖性强，成本高，难以大规模的实施。

fuzz工具https://www.freebuf.com/sectool/76861.html

https://www.cnblogs.com/blacksunny/p/9236953.html

@cookie注入！！经常做到

@\u2345\u78098\u672是Unicode编码，用python看或者两边加上引号，放到浏览器console中，回车

@GraphQL

一道题的全部代码

<html>

<head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <title>我的备忘录</title>
    <meta name="description" content="">
    <meta name="viewport" content="width=device-width, initial-scale=1">
</head>

<body>

    <div style="text-align:center">
        <h2>带密码的备忘录</h2>
    </div>
    <span>
        我很懒，界面还没有实现!
        <!--     GraphQL 真方便       All your base are belong to us!!!!!      -->
    </span>

</body>

</html>

@js和php的区别
js工作在浏览器 端，他所提交的数据是交给浏览器来处理的。但是现在的Ajax技术已经可以把js提交的数据交付到浏览器来处理。php，是工作在服务器端的脚本，把数据提交给服务器去处理，服务器再响应到浏览器

@做题不仅是base32/64，还有base80+的，一直到base92啥的，方法就是base全家桶全部试一遍

@docker：容器