网站没有token和referer时，则可能存在csrf 漏洞。（)

测试CSRF漏洞时，可使用BURPSUITE生成POC进行测试。（)

进行XSS漏洞测试时，‘＜’、‘＞’符号被过滤，则网站不存在XSS漏洞。（)

网站在查询用户信息、资金数据时，如果前端传入的数据里存在userid等参数，则该网站存在越权漏洞。（)

CSRF在成因上与XSS完全相同，不同之处在于利用的层次上，CSRF对XSS漏洞的利用较低。（)

只要网站在登录时设置了图片验证码，网站就不会存在用户名密码爆破漏洞。（)

网站只要存在ssrf漏洞，就能读取服务器的文件。（)

Jboss可能存在反序列化漏洞。（)

已知网站使用mysql数据库且存在SQL注入漏洞，=被过滤时可以替换为like、rlike或regexp。（)

某次渗透测试发现，登入A账户抓取领取积分的数据包，将Cookie、Token等认证信息修改为B用户的Cookie、Token等，发现能将积分领取到B用户说明存在越权漏洞。（)

IIS服务器可能存在短文件名漏洞。（)