correct wrong words and polish some sentences in Chninese version

Author: leozhang2018

README-zh.md

@@ -4,10 +4,10 @@
 
 安全问题主要由以下两类原因导致：   
 
-1. 那些刚入门的无法区分MD5和bcrypt作用的开发者  
+1. 那些刚入门的无法区分 MD5 和 bcrypt 作用的开发者  
 2. 那些知道这件事但忘记/忽略了的开发者  
 
-我们的详细说明应该可以帮到第1类开发者，而我们希望的我们的checklist可以帮到第2类的开发者构建更多安全的系统。这绝不是一个综合性的指南，仅仅是覆盖了大多数我们过去发现的比较常见的问题。  
+我们的详细说明应该可以帮到第 1 类开发者，而我们希望我们的 checklist 可以帮到第 2 类的开发者构建更多的安全系统。这并不是一个综合性的全面指南，只是覆盖了大多数我们在过去发现的常见问题。  
 
 
 
@@ -23,7 +23,7 @@
 4.4 为什么使用不安全的文本消息? HOTP & TOTP 介绍   
 4.5 处理密码重置  
 5. 权限验证: 我能做什么？  
-5.1 基于Token的权限验证    
+5.1 基于 Token 的权限验证    
 5.2 OAuth 和 OAuth2  
 5.3 JWT（JSON Web Token）  
 6. 数据校验和过滤: 绝不信任用户输入  
@@ -42,18 +42,18 @@
 8.1 密码策略  
 8.2 密码存储  
 8.3 没有密码的生活  
-9. 公钥加密 
+9. 公钥加密
 10. 会话: 请记住我   
 10.1 哪里存储状态？   
 10.2 使会话失效    
-10.3 Cookie怪物和你  
+10.3 Cookie 怪物和你  
 11. 加固安全, 一次只有一个头信息    
-11.1 安全的web header    
+11.1 安全的 web header    
 11.2 第三方代码的数据集成检测    
 11.3 证书绑定  
 12. 配置错误      
 12.1 云上准备: 端口、Shodan、AWS  
-12.2 亲，你开了debug模式    
+12.2 亲，你开了 debug 模式    
 12.3 日志（或者没有日志）  
 12.4 监控  
 12.5 最低优先级原理    
@@ -68,18 +68,18 @@
 13.4 服务端请求伪造  
 14. [互联网公司漏洞统计](vulnerabilities-stats-zh.md)   
 15. 重造轮子，但做出来是方的    
-15.1 Python的安全库和包    
-15.2 NodeJS的安全库和包  
+15.1 Python 的安全库和包    
+15.2 NodeJS 的安全库和包  
 15.3 学习资料  
 16. 掌握良好的安全习惯  
-17. 安全性  vs 可用性  
-18. 回到第1条: 安全Checklist解释  
+17. 安全性 vs 可用性  
+18. 回到第 1 条: 安全 Checklist 解释  
 
 
 
 
 ### 我们是谁?
 
-我们是全栈开发工程师，讨厌看到那些所谓为了做某件事情而hack，但写了一堆不安全的代码的开发者。在过去六个月，我们保护了超过1500w信用卡信息以及超过4500w用户的个人信息以及被盗，以及防止了大量的公司倒闭。最近，我们发现一个安全问题就能使一家比特币交易公司数据泄露从而倒闭。我们以及帮助了若干创业公司让他们的系统更安全，大多数是免费的，有时候甚至连『谢谢』都没收到：）
+我们是全栈开发工程师，讨厌看到那些所谓为了做某件事情而 hack，但写了一堆不安全的代码的开发者。在过去六个月，我们保护了超过 1500w 信用卡信息不被泄露，超过 4500w 的用户个人信息不被盗取，潜在的拯救了大量公司的倒闭。最近，我们发现的一个安全问题，可以导致一家比特币交易公司因数据泄露而倒闭。我们帮助了若干创业公司让他们的系统更安全，大多数都是免费的，有时候甚至连『谢谢』都没收到 :)
 
-*如果你不同意我们的观点或者找到bug，请开启一个issue或者提交一个PR给我们。另外，你也可以通过 [email protected] 与我们交流。*
+*如果你不同意我们的观点或者找到 bug，请开启一个 issue 或者提交一个 PR 给我们。另外，你也可以通过 [email protected] 与我们交流。*

vulnerabilities-stats-zh.md

@@ -3,8 +3,8 @@
 
 ### Hackerone 公开漏洞统计  
 
-目前为止，Hackerone平台已经发现1731个公开的漏洞，主要来自 Twitter、Uber、Dropbox、Github 等公司。其中8个已经删除，9个来自互联网或者特定的语言，剩下的1714个中，有1359个我们可以通过代码或者人工的方式进行分类。  
-    
+目前为止，Hackerone 平台已经发现 1731 个公开的漏洞，主要来自 Twitter、Uber、Dropbox、Github 等公司。其中 8 个已经删除，9 个来自互联网或者特定的语言，剩下的 1714 个中，有 1359 个我们可以通过代码或者人工的方式进行分类。  
+
 
 #### 按照错误的类型划分  
 
@@ -19,7 +19,7 @@
 
 #### 按照发生的频率排序  
 
-其中1/3的问题与XSS、不安全的数据引用 (数据泄露) 或者忘记设置 CSRF token有关，这个 [页面](https://hackerone.com/hacktivity/new) 列举的这些问题非常有趣，值得一读.  
+其中 1/3 的问题与 XSS、不安全的数据引用 (数据泄露) 或者忘记设置 CSRF token 有关，这个 [页面](https://hackerone.com/hacktivity/new) 列举的这些问题非常有趣，值得一读.  
 
 类型|数量|占比
 | --- | --- | --- |
@@ -29,15 +29,15 @@ CSRF Token|99|5.77
 开放重定向|59|3.44
 信息/源代码泄露|57|3.32
 DNS 配置错误 + Apache/Nginx + 子域名接管 + Open AWS_S3|44|2.56
-不正确的session管理/固定|39|2.27
+不正确的 session 管理/固定|39|2.27
 TLS/SSL/POODLE/Heartbleed|39|2.27
 HTML/JS/XXE/内容注入|37|2.15
 HTTP 头信息问题|34|1.98
-空指针 + 段错误 + 在free()之后使用内存|33|1.92
-DMARC/DKIM/邮件SPF设置|31|1.8
+空指针 + 段错误 + 在 free() 之后使用内存|33|1.92
+DMARC/DKIM/邮件 SPF 设置|31|1.8
 SQL 注入|28|1.63
 点击劫持|27|1.57
-不正确的cookie使用 (secure/httpOnly/暴露)|25|1.45
+不正确的 cookie 使用 (secure/httpOnly/暴露)|25|1.45
 路径暴露|25|1.45
 开放权限|24|1.4
 暴力破解|24|1.4
@@ -56,7 +56,7 @@ CSV 注入|10|0.58
 OAuth 状态/泄露和其他问题|9|0.52
 密码策略|7|0.4
 CRLF|7|0.4
-python语言|6|0.35
+python 语言|6|0.35
 单向攻击|6|0.35
 文件上传类型/大小/存储位置 过滤|6|0.35
 Captcha|5|0.29
@@ -70,7 +70,7 @@ Pixel Flood Attack|3|0.17
 输入控制字符|2|0.11
 
 
-### 一些唯一的漏洞类型
+### 一些特殊的漏洞类型
 
 1. 竞态条件漏洞
 2. Pixel Flood Attack