介绍

• 首先给出官网。
• Scapy是用Python编写的交互式数据包处理工具。
• 使用Scapy可以伪造或解码各种协议的数据包，在线发送它们，捕获它们，匹配请求和答复等等。

漏洞介绍

• 跨站请求伪造，也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF。
• 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
• 跟跨网站脚本相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。
• 通俗的可以理解为：攻击者盗用你的身份，利用网站对你的信任发起恶意请求。

漏洞介绍

• CAPTCHA项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称，是一种区分用户是计算机和人的公共全自动程序。
• 使用CAPTCHA可以防止计算机恶意破解密码、刷单等，保证用户是人类(无法快速反复发送请求)。
• 攻击者绕过CAPTCHA验证后，可以使用恶意脚本操控计算机反复发送请求或者在异地实现绕过验证的CSRF攻击。

漏洞原理

• 当用户第一次访问服务程序时，服务器端会给用户创建一个独立的会话Session
  并且生成一个SessionID。
• SessionID在响应浏览器的时候会被加载到cookie中，并保存到浏览器中。
• 当用户再一次访问服务程序时，请求中会携带着cookie中的SessionID去访问服务器。
• 服务器会根据这个SessionID去查看是否有对应的Session对象，有则使用，没有就新创建一个Session。
• 

漏洞介绍

定义

• XSS本名Cross-Site Scripting跨站脚本，是攻击者将恶意JavaScript脚本植入服务器而形成对访问者的攻击。