在 FIT2018 互联网创新大会上得知，最新的 OWASP top10 中，XXE 已上升至第三位，所有对 XXE 产生了强烈的兴趣。虽然之前也听说过 XXE，但是一直未深入了解。经多方资料查询，愈发感受到 XXE 攻击的强大。

以下是我这段时间对 XXE 学习的一点总结，比较浅显，仅供参考。

XSS 全称：跨站脚本（ Cross Site Scripting ）,为了不和层叠样式表（ Cascading Style Sheets ）的缩写 CSS 混合，所以改名为 XSS；攻击者会向 web 页面（ input 表单、 URL 、留言版等位置）插入恶意 JavaScript 代码，导致 管理员/用户 访问时触发，从而达到攻击者的目的。

XSS 的危害：窃取管理员/用户的 cookie 非法登录，导致网站被挂马、服务器沦陷被控制等等……

本文作者：s9mf

对于很多，和我一样刚刚入门，或者还在门边徘徊的小伙伴们，在渗透学习的过程中，总会遇到各种情况，例如 php 大马被 waf 拦截的时候，那么如何制作免杀 php webshell 呢，接下来就由我带各位小伙伴们一起踏上大马免杀之路，不喜勿喷。

本文作者：l1nk3r

在 OWASP TOP10 中，反序列化已经榜上有名，但是究竟什么是反序列化，我觉得应该进下心来好好思考下。我觉得学习的时候，所有的问题都应该问 3 个问题：what、why、how:

本文作者：hurricane618（来自读者投稿）

今年的 0CTF 预选赛 6 道 web 题，其中三道都涉及 CSP 的知识点，简直可怕。。。这次趁着空闲时间就稍稍总结一下 CSP 绕过方面的知识，无论是对以后 CTF 比赛还是工作都很有帮助。