摘要：本文通过Pikachu靶场实战分析了三种XSS漏洞类型：1)反射型XSS通过未过滤的输入直接执行JS代码；2)存储型XSS将恶意脚本存入数据库，造成持续影响；3)DOM型XSS通过前端DOM操作实现攻击，可利用URL传播。文章详细演示了各类漏洞的利用方法，包括构造payload、分析源码及攻击场景，特别指出DOM型XSS通过恶意URL也能造成严重危害。最后预告将继续探讨XSS漏洞的实际应用场

本文介绍了XSS跨站脚本攻击的基本原理和防范方法。XSS漏洞源于浏览器混淆“数据”和&“代码”，将用户输入当作代码执行。文章分析了四种XSS上下文环境（文本、属性、JavaScript和URL环境），并通过pikachu靶场演示了反射型XSS攻击。同时讲解了浏览器同源策略和Cookie安全机制等防护措施。最后展示了如何突破前端输入限制，成功执行XSS攻击。文章为后续深入探讨XSS漏洞类型奠定了基础

摘要：本文介绍了对人脸识别门禁系统进行渗透测试的信息收集实战过程。通过实地考察获取了设备IP地址、后台登录界面、人像采集网站域名及统一身份认证服务等信息。采用nmap扫描、代码审计等技术手段，发现系统存在硬编码API密钥、半绕过漏洞以及nginx服务器漏洞（如CVE-2022-41741）等安全隐患。文章强调渗透测试应遵循检测而非破坏的原则，展示了网络侦察在网络安全中的关键作用，为后续渗透工作提供