大家好，我们是OpenCDN团队，专注于CDN技术的开发和研究。
首先，为了对CDN进行攻击，我们必须清楚CDN的工作原理，这里我们再来简单介绍一下CDN的工作模型。DN的全称是Content Delivery Network（内容分发网络），通过在网络各处的加速节点服务器来为网站抵挡恶意流量，把正常流量进行转发。用简单点的话来说，CDN一般有三个作用

2013年10月2日，在大家都沉浸在十一长假喜悦中的时候，遥远的美国爆发出了一个震惊Tor社区和比特币社区的消息，运营在Tor上使用hidden service和用比特比交易的Silkroad丝绸之路被FBI查封，并且创始人Ross William Ulbricht，也就化名为Dread Pirate Roberts的网站管理员和主要运营者在美国被抓。在大家都认为这种运营方式无懈可击绝无被查水表可能的时候，勤劳的FBI却早在今年7月就已经获得了丝绸之路服务器的硬盘镜像，并且潜伏在服务器中长达3个月，从而获得了网站管理员的真实身份。

关于JavaWeb后门问题一直以来都比较少，而比较新奇的后门更少。在这里我分享几种比较有意思的JavaWeb后门给大家玩。

在单引号内的mysql注入，核心就是逃脱单引号，要么生成一个(htmlentities了单引号，不太可能)，要么...干掉一个。

这里安装CentOS6系统同样是使用最小化安装，仅安装@Base @Development Tools @Development Library

目前GPU的速度越来越快，使用GPU超强的运算速度进行暴力密码破解也大大提高了成功率，曾经看到老外用26块显卡组成的分布式破解神器让我羡慕不已。要说目前最好的GPU破解HASH的软件，非HashCat莫属了。下面我就为大家具体介绍一下HashCat系列软件。

随着日益发展的网络技术，网络线路也变的越来越复杂。渗透测试人员在web中通过注入，上传等基本或高级脚本渗透方法到达了边界服务器。再深入时则会面对更复杂的网络,比如乱七八糟的vlan环境。

tunna工具使用实例

原理:就是个HTTP tunneling工具

from:http://blog.spiderlabs.com/2013/09/top-five-ways-spiderlabs-got-domain-admin-on-your-internal-network.html

spiderlabs总结的,我简单翻译下,偶尔加点我的牢骚。

Dionaea(捕蝇草) 低交互式蜜罐(http://dionaea.carnivore.it) 是 Honeynet Project 的开源项目，起始于 Google Summer of Code 2009，是Nepenthes(猪笼草)项目的后继。Honeynet Project 是成立于 1999 年的国际性非盈利研究组织，致力于提高因特网的安全性，在蜜罐技术与互联网安全威胁研究领域具有较大的影响力。

写在前面的话，网上能够找到一些关于ossec方面的资料，虽然很少，但是总比没有强，不过在实际的使用过程中还是会碰到许多稀奇古怪的问题。整理整理我的使用过程，就当做一篇笔记吧。

Java应用服务器主要为应用程序提供运行环境，为组件提供服务。Java 的应用服务器很多，从功能上分为两类：JSP 服务器和 Java EE 服务器。

纵观账号互通发展史，可以发现OAuth比起其它协议（如OpenID）更流行的原因是，业务双方不仅要求账号本身的认证互通（authentication；可理解为“我在双方的地盘姓甚名谁”），而是更需要双方业务流的授权打通（authorization；可理解为“我在双方的地盘上可做什么”），因为后者才能产生实际的互惠互利。

当我读到一篇关于Joomla的“PHP对象注射”的漏洞blog后，我挖深了一点就发现Stefan Esser大神在2010年黑帽大会的文章：