Haka是一种开源的以网络安全为导向的语言，可以用于编写安全规则和协议剥离器。在这一部分中，我们的重点是编写安全规则。

Cuckoo是一款开源的自动化恶意软件分析系统，目前主要用于分析windows平台下的恶意软件，但其框架同时支持Linux和Mac OS。cuckoo能够自动化获取如下信息：

天下武功，唯快不破。但密码加密不同。算法越快，越容易破。

谈到SQL注入，那麽第一时间就会想到神器SQLMAP，SQLMap是一款用来检测与利用的SQL注入开源工具。那麽SQLMap在扫描SQL的逻辑到底是怎样实现的呢，接下来就探讨下SQLMap的扫描逻辑，通过了解SQLMap的扫描逻辑打造一款属于自己的SQL扫描工具。

本文简要介绍了流行的三个浏览器动态Fuzz工具cross_fuzz、grinder、X-Fuzzer的原理及其优缺点，并提供了一种通过动静结合的方式兼顾可重现性、通用性、高效性、自动化程度高的浏览器fuzz方法。

随着移动安全越来越火，各种调试工具也都层出不穷，但因为环境和需求的不同，并没有工具是万能的。另外工具是死的，人是活的，如果能搞懂工具的原理再结合上自身的经验，你也可以创造出属于自己的调试武器。因此，笔者将会在这一系列文章中分享一些自己经常用或原创的调试工具以及手段，希望能对国内移动安全的研究起到一些催化剂的作用。

（本文纯属虚构，如有雷同，实属巧合）
重阳祭祖，在闲暇之余，且听我讲述一个小小的故事。
0x01 飘渺的云虚机

REST的全称是REpresentational State Transfer，表示表述性无状态传输，无需session，所以每次请求都得带上身份认证信息。rest是基于http协议的，也是无状态的。只是一种架构方式，所以它的安全特性都需我们自己实现，没有现成的。建议所有的请求都通过https协议发送。RESTful web services 概念的核心就是“资源”。 资源可以用 URI 来表示。客户端使用 HTTP 协议定义的方法来发送请求到这些 URIs，当然可能会导致这些被访问的”资源“状态的改变。

XDCTF2015是我觉得很给力的一次CTF，题目难度适中，也没出什么乱子，圆满结束了。

向来CTF是很容易出乱子的，有时候乱子来自于自身，比如某年的XDCTF因为学校机房停电导致初赛停顿了几个小时。当然，更多的乱子来自于“黑客”。因为CTF是安全相关的竞赛，自然会吸引很多安全研究者的目光。这里的“黑客”就是指通过各种手段让其他选手没法正常做题的人。

Vstruct是一个纯粹由Python语言编写的模块，可用于二进制数据的解析和序列化处理。实际上，Vstruct是隶属于vivisect项目的一个子模块，该项目是由Invisig0th Kenshoto发起的，专门用来处理二进制分析。 Vstruct的开发和测试已经有许多年头了，并且已经集成到了许多生成环境下的系统中了。此外，这个模块不仅简单易学，而且重要的是，它还非常有趣！

在讲防御之前简单介绍一下各类攻击，因为DDOS是一类攻击而并不是一种攻击，并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程，很多演进的攻击方式自动化不一定能识别，还是需要进一步的专家肉眼判断。

事情的起因是@唐巧_boy在微博上发了一条微博说到：一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码，会向一个网站上传数据，目前已知两个知名的 App 被注入。

本章节节选翻译自_《Understanding Network Hacks: Attack and Defense with Python》中的第四章_Layer 2 Attacks。该书通过网络层次划分介绍漏洞，并使用Python编写相关利用工具进行网络攻防，每小节均按照“原理--代码--解释--防御”的结构行文，此书也可与_《Python黑帽子:黑客与渗透测试编程之道》_相互参照学习，相信会达到较好的效果呦。另译者水平有限，如有错误还请指正与海涵。

谈到SQL注入，那麽第一时间就会想到神器SQLMAP，SQLMap是一款用来检测与利用的SQL注入开源工具。那麽SQLMap在扫描SQL的逻辑到底是怎样实现的呢，接下来就探讨下SQLMap的扫描逻辑，通过了解SQLMap的扫描逻辑打造一款属于自己的SQL扫描工具。

对于白帽子来说，最钟爱的SQL注入工具莫过于sqlmap。随着攻防对抗的升级，sql注入漏洞呈明显下降的趋势，同时也呈现出难发现、难利用的特点。在实际测试的时候发现，有时明明手工确认的注入，丢进sqlmap确无法识别出来。于是乎就有了各种py脚本来跑数据。通常找到一个注入在sqlmap识别不出或者无法跑出数据的情况下，到处找合适的脚本，然后再修改，如果对PY脚本熟悉，可能也来的快，但是假如对PY脚本不是很熟悉，每次必然花费大量精力和时间在此上面。因此在常用工具无法识别SQL注入或者无法跑出数据的时候，用VC做一个通用GUI框架，采用半自动、多线程并发的方式来进行SQL盲注，就显得既方便又节约时间。程序界面设计如图（