连一个十一流水平的WEB开发人员都知道的“不要根据GET请求的内容修改数据”都没有遵守。 如果所有更新操作的数据都检查一下是否是POST请求，会出现被人利用URL这种弱智的方法攻击吗? 攻击者甚至没有利用CSRF/XSS这些稍微智能一点的方法。几个月前测试过虽然首页显示的内容进行了 XSS过虑，但查看详细页面竟然能成功弹出XSS(Android手机客户端)，这说明对用户输入... [阅读全文]