（面试准备版）基于CTF Wiki的总结和思考

WEB类的题目包括：SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、文件上传、框架安全、PHP常见漏洞、代码审计
Wiki中没提到的还包括：Java安全、Nodejs原型链污染、XXE、SSRF、逻辑漏洞等，以及很多的题目会以CVE复现的形式出现，还有很多有意思的形式

SQL注入：'单引号 或者其他方式 隔断之后对数据库执行SQL语句

XSS跨站脚本攻击：通过输入框输入 或者其他方式 嵌入到前端的HTML代码，可以使用XSS探针测WAF

命令执行：命令执行的函数 PHP：system、exec、shell_exec等 JAVA：反射机制

文件包含：../返回上一层目录

CSRF：跨站请求伪造 伪造（改HTTP文件头

SSRF：服务器端请求伪造 网站的api 通过服务端请求

文件上传：最基础的是传一句话木马拿shell

点击劫持、VPS虚拟专用服务器（没咋听说）
条件竞争（应该是和逻辑漏洞一个意思）

XXE：XML外部实体注入 构造一个XML实体

XSCH、越权、敏感信息泄露、错误的安全配置、请求走私、TLS投毒、XS-Leaks、WAF、IDS、IPS