客户端源代码反编译是web渗透测试工作流程的一环。

XXE就是（XML外部实体注入）当应用允许引用XML外部实体时，攻击者通过构造恶意内容，就可能进行任意文件读取、系统命令执行、内网端口探测、内网网站攻击等操作。

Dirsearch和oneforall工具都是路径扫描工具。

CSRF是服务器端请求伪造攻击，由服务器端发起，重放攻击是将截获的数据包进行重放，达到身份认证等目的。

WEB漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞。CSRF跨站请求伪造攻击利用一个透明的iframe框，诱使用户在该页面上进行操作。

跨站请求伪造（Cross-SiteRequestForgery，CSRF）是一种对网站的恶意利用。浏览器可以访问web应用程序的会话管理信息属于跨站请求伪造攻击的必要条件之一。

文件上传漏洞原理是由于程序员在对用户文件上传部分的处理存在缺陷，而导致用户可以向服务器上传可执行的动态脚本文件。

通过修改HTTPheaders中的Referer键值可以伪造来源网址。

对于上传文件后缀的过滤，采用黑名单过滤比白名单过滤更好。

反射型XSS就是用户可以通过对可控的GET传参输入特殊语句使客户端执行攻击者指定的css代码。

数据完整性是数据安全的三个基本要点之一，指在存储信息或数据的过程中，确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。其只包含数据的存储过程，不含数据的传输过程。

审计原则是指导审计工作的基本理论，是组织审计工作、处理审计事项所必须遵循的规律。

检查组织是否建立与数据服务相关的元数据及其管理规范、与数据服务安全架构相应的安全元数据管理规范和数据访问控制策略, 从而明确元数据安全属性建立标记的策略及标记定义和管理机制。

在制度及规范管理中，需要检查制度和标准是否得到定期评审和更新，并分发至机构数据服务部门和操作人员，抽样访谈数据操作和管理人员，了解其对制度规范的知晓情况并查阅制度规范的更新记录。

数据采集过程只需要保证数据的准确性即可。