攻击者利用服务端漏洞,伪造服务端身份访问内部系统.

XML实体允许定义标记，在解析XML文档时，这些标记将被内容替换。通常有三种类型的实体: 普通实体（预定义实体和自定义实体）和参数实体 内部实体和外部实体 已解析实体和未解析实体

Insecure Login（不安全的登录） 概念 加密是安全通信的一个非常重要的工具。在这节课中，我们将了解为什么在发送敏感数据时总是要使用它。

注入类漏洞

魔术数字（magic number）是程式设计中所谓的直接写在程式码里的具体数值（如“10”“123”等以数字直接写出的值）。虽然程式作者写的时候自己能了解数值的意义，但对其他程式员而言，甚至制作者本人经过一段时间后，会难以了解这个数值的用途，只能苦笑讽刺“这个数值的意义虽然不懂，不过至少程式会动，真是个魔术般的数字”而得名。

序列化是将复杂的数据结构（如对象及其字段）转换为“更扁平”的格式的过程，该格式的数据可以作为字节流序列发送和接收。序列化的数据让以下过程更简单： 将复杂数据写入进程间内存、文件或数据库 发送复杂数据，例如，通过网络或API调用，在应用程序的不同组件之间传递复杂数据 Java 序列化是指把 Java 对象转换为字节序列的过程，以便于保存在内存、文件、数据库中，ObjectOutputStream类的 writeObject() 方法可以实现序列化。

身份验证绕过以多种方式发生，但通常利用配置或逻辑中的一些缺陷。篡改以达到正确的条件。

Broken Access Control(越权访问) Insecure Direct Object References(不安全的直接对象引用) 直接对象引用 直接对象引用是指应用程序使用客户端提供的输入来访问数据和对象。

跨站点脚本 （XSS） 攻击是一种注入，其中 恶意脚本被注入到其他良性和受信任的脚本中 网站。当攻击者使用 Web 应用程序执行以下操作时，会发生 XSS 攻击 发送恶意代码（通常以浏览器端脚本的形式）到 不同的最终用户。允许这些攻击成功的缺陷是 相当普遍，并且发生在 Web 应用程序使用来自 用户在其生成的输出中，而无需对其进行验证或编码。