网站用户可通过请求API接口的方式创建相同权限的账户，该网站存在水平越权漏洞。（)

网站在查询用户信息、资金数据时，如果前端传入的数据里存在userid等参数，则该网站存在越权漏洞。（)

服务器安全，是指在Web应用中服务器的安全，攻击者可以利用网站操作系统和Web服务程序的漏洞越权操作，非法窃取数据及植入恶意代码，使得网站访问用户蒙受损失。（)

获取到了网站shiro使用的key，不一定能利用漏洞获取到网站服务器权限。（)

网站只要存在ssrf漏洞，就能读取服务器的文件。（)

网站没有token和referer时，则可能存在csrf 漏洞。（)

只要网站在登录时设置了图片验证码，网站就不会存在用户名密码爆破漏洞。（)

某次渗透测试发现，登入A账户抓取领取积分的数据包，将Cookie、Token等认证信息修改为B用户的Cookie、Token等，发现能将积分领取到B用户说明存在越权漏洞。（)

水平越权是指.Web应用程序在接收到用户的请求时，判断数据的用户时是通过从用户表单参数中获取userid来实现的，可以修改userid来实现水平越权。（)

小李在测试网站时发现LDAP注入漏洞，他可以利用该漏洞执行系统命令，从而控制服务器。（)

关于创建API，以下描述正确的是:（)。