Bluebox的CTO Jeff Forristal在其官⽅方blog爆出一个漏洞叫做UNCOVERING ANDROID MASTER KEY,大致是不篡改签名修改android代码。

今天无意发现了个PostgreSQL环境，线上学习了下，一般的数据注射（读写数据库）差异不大，不做讨论，个人比较关心PostgreSQL的文件读取和命令执行方面。

在Browser Security-同源策略、伪URL的域这篇文章中提到了浏览器的同源策略，其中提到了XMLHttpRequest严格遵守同源策略，非同源不可请求。但是，在实践当中，经常会出现需要跨域请求资源的情况，比较典型的例如某个子域名向负责进行用户验证的子域名请求用户信息等应用。

Rsync，remote synchronize顾名思意就知道它是一款实现远程同步功能的软件，它在同步文件的同时，可以保持原来文件的权限、时间、软硬链接等附加信息。
rsync是用 “rsync 算法”提供了一个客户机和远程文件服务器的文件同步的快速方法，而且可以通过ssh方式来传输文件，这样其保密性也非常好，另外它还是免费的软件。

注:本节意在让大家了解客户端和服务器端的一个交互的过程,我个人不喜欢xss,对xss知之甚少所以只能简要的讲解下。这一节主要包含HttpServletRequest、HttpServletResponse、session、cookie、HttpOnly和xss,文章是年前几天写的本应该是有续集的但年后就没什么时间去接着续写了。由于工作并非安全行业，所以写的并不算专业希望大家能够理解。后面的章节可能会有Java里的SQL注入、Servlet容器相关、Java的框架问题、eclipse代码审计等。

JSP: 全名为java server page，其根本是一个简化的Servlet。

Servlet：Servlet是一种服务器端的Java应用程序，可以生成动态的Web页面。

JavaEE: JavaEE是J2EE新的名称。改名目的是让大家清楚J2EE只是Java企业应用。

什么叫Jsp什么叫Java我真的非常让大家搞清楚！拜托别一上来就来一句：“前几天我搞了一个jsp的服务器，可难吭了。”。

QR二维码(Quick Response Code)是由日本丰田子公司Denso Wave于1994年发明并开始使用的一种矩阵二维码符号。与条形码相比，它具有明显的优势：条形码最多只能存储20位，但QR码可以存储7089个字符；携带相同的信息量，QR只需要条形码1/10的空间。QR码最初用于在汽车制造业中追踪部件，之后被广泛应用到其它行业尤其是电信行业。随着智能手机的普及，QR码成为了一个快速、高效的URL连接器，被称为移动互联网的“入口”。用户通过扫描QR码，能够快速链接到指定网站，并进行软件下载、新闻阅览、广告推广服务等。另外，QR码也逐渐在广内超市中使用，通过扫描QR码可查询到相关产品的产地介绍、营业执照、自产自销证明等信息。QR码不仅信息容量大、可靠性高、成本低，还可表示汉字及图像等多种文字信息、其保密防伪性强而且使用非常方便。因此，很快就在日韩地区得到迅速普及，发展到后来，欧美国家也开始大量使用。

从IE8 beta2 开始，微软加入了xss Filter。如同大部分安全产品一样，防护的对策就是利用规则去过滤攻击代码，基于可用和效率的考虑，同时加入黑白名单策略（即同源策略）。

经过几代的更新和大量hack爱好者的测试（微软喜欢招揽一些帮助寻找漏洞的人才），到IE9已经有了比较好的提升。下面主要针对IE9和IE10.

CSRF（Cross-site request forgery）跨站请求伪造，由于目标站无token/referer限制，导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式，CSRF利用方式可分为两种。

当你看到一个参数的值是url的时候你会想到什么？
结合wooyun里的案例看，可能产生的危害分为三方面：

flash如何跨域通信，全靠crossdomain.xml这个文件。这个文件配置在服务端，一般为根目录下，限制了flash是否可以跨域获取数据以及允许从什么地方跨域获取数据。

比如下面的列子： 1、www.a.com域下不存在crossdomain.xml文件，则不允许除了www.a.com域之外的其他任何域下的flash进行跨域请求。

同源策略（Same Origin policy，SOP），也称为单源策略（Single Origin policy），它是一种用于Web浏览器编程语言（如JavaScript和Ajax）的安全措施，以保护信息的保密性和完整性。

同源策略能阻止网站脚本访问其他站点使用的脚本，同时也阻止它与其他站点脚本交互。

调用方式有三种：

1 用<style>
2 通过<link rel=stylesheet>，或者使用style参数。
3 XML（包括XHTML）可以通过<?xml-stylesheet href=...?>

URL格式：

scheme://[login[:password]@](host_name|host_address)[:port][/hierarchical/path/to/resource[?search_string][#fragment_id]]