vip=0，这有点显着，用burp或许浏览器cookie修改东西把vip改成1，改写页面后那个躲藏的链接能够翻开了，翻开后便是flag: ComplexKillingInverse411 XSS进犯要求站点承受歹意代码，而关于CSRF进犯来说，歹意代码坐落第三方站点上。 过滤用户的输入能够避免歹意代码注入到某个站点，可是它无阻挠法歹意代码在第三方站点上运转。 手机经过装备署理将数据发送到Burp Suite剖析1.1获取方针信息

system kernel service defender其实，Apache也能够经过菜单发动，上图中的httpd的子菜单就能够发动，我比较习气从指令行发动罢了。