最近公司对员工进行了网络安全方面知识的培训，介绍了几个安全漏洞点：
1）登录、注册、忘记密码的验证码
在这些界面，每次提交验证码都要刷新，否则就是形同虚设，用软件扫可以绕过验证码
2）平行越权
这个用户可以查到其他用户的记录
3）sql注入
4）跨站脚本攻击

演示了使用WebGoat搭建测试环境，Burp Suite进行渗透的过程。

扫的时候他是观察工具里返回的字节长度，一般失败和成功返回字节长度不一样。
建议对成功和失败的返回长度一样，或者返回尽量少的信息？

时间久了忘了后面的内容了。。。