0×01 前言: 《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码，没有从基础的开始)，直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。 我这里就不...

早听说武汉深之度Deepin项目开发组有一位叫王勇的“牛人”，他的志向是“做出用户交互体验最好的Linux系统”，只可惜一直没有谋面采访到他本人。 七月流火的一个中午，记者走进了中国光...

安全研究人员发现，大多数USB设备都存在一个根本的安全漏洞，这个漏洞可被利用来感染计算机，而且很难被阻止或检测。 位于柏林的安全研究实验室创始人兼首席科学家Karsten Nohl表示，大多...

渗透测试从互联网找到了入侵内网的入口点之后剩下的就内网渗透测试了。 有人说到了内网还不容易，随便拿个hscan一抓一大把弱口令。我同意这个看法，但是在我看来，内网环境复杂得多，...

缓冲区溢出出现在用户输入的相关缓冲区内，在一般情况下，这是现在的计算机和网络上的最大的安全隐患之一。这是因为在编程的层次上很容易出现这中问题，这对于不明白或是无法获得源...

1 背景概述 WEB应用漏洞导致的入侵时有发生，扫描器和WAF并不能解决所有的问题，于是尝试在主机侧针对PHP环境做了一个防御方案。很荣幸的邀请到TSRC部分白帽子做了一次对抗演习，本文主要...

0x00 背景 ModSecurity是一个免费、开源的Apache模块，可以充当Web应用防火墙(WAF)。ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的...

首先用zend把代码加密起来。 一般情况下，遇到陌生的php都会打开看看，一看是zend就会在浏览器访问下，这样的话，直接往当前文件写入一个正常的文字不会被维护人员发觉!! 01 02if($_REQUEST["...

安装有实时杀毒功能的防火墙，就万事大吉了 有很多用户持一种错误的观念，以为只要买了杀毒软件，特别是只要安装了有实时杀毒功能的防火墙，就能挡住所有病毒，万事大吉了—这是大错...

DDoS攻击原理的目标导向TCP协议方面的探讨： 我们知道，TCP(transmission control protocol，传输控制协议)，是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议，在RFC793中有正式定义，...