验证码作为一种辅助安全手段在Web安全中有着特殊的地位，验证码安全和web应用中的众多漏洞相比似乎微不足道，但是千里之堤毁于蚁穴，有些时候如果能绕过验证码，则可以把手动变为自动，对于Web安全检测有很大的帮助。

这里用浅谈，因为这块也只能算是有点研究，也希望看到本文的各位如果能有所收获即可。如果不喜欢，也请不要喷。码这么多字很不容易，做一个分享者更是如此。

一直以来，很多大厂商的安全一直被认为相对薄弱，因为他们业务线长，同时，子站、分站众多，往往安全性子站与分站没有主站做的那么好。

即使是最普通的字母数字输入也可能是危险的，列举几个容易引起安全问题的字符：

! $ ^ & * ( ) ~ [ ] \ | { } ' " ; < > ? - `

研究过国内外的waf。分享一些 奇淫绝技。

一些大家都了解的技巧如：/!/,SELECT[0x09,0x0A-0x0D,0x20,0xA0]xx FROM 不再重造轮子。

移动客户端的漏洞在当前并未受到重视。
从用户的角度来说，对移动软件安全中的反病毒、软件漏洞和软件版权这三个方面并不能很好的区别开；甚至安全企业、安全组织和机构、安全研究人员在移动领域也经常滥用“移动安全”这个词，将其狭义地定义为移动应用中是否存在恶意行为；最关键的是，软件开发者并不太关心自身软件是否存在安全漏洞，这一方面是所谓的attack surface相比于传统web系统或服务器而言太窄，另一方面则有商业竞争和快速迭代特性开发的因素。
然而，如果考虑到当前的诸多针对性攻击，移动软件漏洞将在下一波攻击中变得越来越重要。移动软件漏洞与针对性攻击的结合已经是一种必然的趋势，这种结合也已经发生。

PS：不确定文章中的内容会不会被和谐 互联网中劫持可以理解为正常用户的请求在返回响应之前响应内容被篡改，或者正常用户的请求内容被非法获取从而代为请求。无论是个人还是公司或多或少都会碰到劫持这类事情，无论小到ARP攻击、还是大到运营商的链路劫持、甚至天朝的GFW。笔者在一家互联网公司工作，只是根据碰到的一些情况来进行浅谈，深而广的内容只能让有更多经验的来谈了，对于本文的内容也欢迎各位拍砖。

通常情况下，动态脚本的网站的url类似下面这样 http://www.xxoo.net/aa.php?id=123 做了伪静态之后类似这样 http://www.xxoo.net/aa.php/id/123.html 总归大趋势下，攻击的门槛逐渐增高。这样有利有弊，喜欢研究的会深入钻研，另一方面只会用工具不懂原理的则充斥到大小论坛水区。

通常一些web应用我们会使用多个web服务器搭配使用，解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等！
例如：Nginx+ Tomcat的分层结构（在下文中，我们也使用此例说明相关问题）
Nginx是一个高性能的 HTTP 和 反向代理 服务器 。

默认存在的数据库：

随着人们的生活越来越离不开网络，也越来越离不开移动手机，一般的公共厂商都已经将wifi作为基础服务进行提供，譬如在星巴克、麦当劳等公共场所边点杯热饮边“蹭网”，已经是一个基本的习惯了，甚至一些大型的电信提供商已经尝试将wifi作为一个基础的接入。如今公共的wifi很多，尤其是免费的，手机上还有帮助寻找免费wifi的各类app。很多人为了省流量，看到免费的wifi，总会去连接一下尝试网上冲浪。不过，在这些免费的wifi以及大家使用wifi的习惯，加上手机及app的默认行为，就可以导致一些严重安全问题。

Clickjacking（点击劫持）是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。
是一种视觉欺骗手段，在web端就是iframe嵌套一个透明不可见的页面，让用户在不知情的情况下，点击攻击者想要欺骗用户点击的位置。

之前在 zone 里边有人讨论过CISCO 的后门问题我就说了个利用TCL cisco 的一个脚本处理技术详见http://www.cisco.com/en/US/docs/ios/12_3t/12_3t2/feature/guide/gt_tcl.html现在给整理出来。郑重声明本人仅讨论方法与该技术如利用此技术给他人造成的经济损失与本人无关。 首先给出脚本此脚本非本人所写国外已经有大牛写出来了

最近看了一些文章，比如利用TTL 判断GFW，或者一些奇怪设备的位置，特做一个实验，看一下TTL 及TRACERT 。 TRACERT 大概的原理，就是通过发送不断+1 的TTL（TIME TO LIVE）的ICMP REQUEST到达最终设备，最后由最终设备返回ICMP REPLY（中间经过的设备返回的都是ICMP超时---|||||ICMP TIME EX）实现。 先发一个TRACERT 图

zabbix近几年得到了各大互联网公司的认可，其强大的功能得到了各位运维攻城狮的亲耐。 公司本身也用zabbix做监控，对其属性也有所了解。不得不说zabbix除了监控强大之外，还有一个很好的用处就是在你忘记root密码的时候，重置服务器root密码，朋友们也一致认为zabbix是一个无比强大的超级后门。 打开了一扇门，另外一扇门就会随之开启，大伙都知道zabbix有system.run模块，这是可以执行任意命令的。不过还得看agent是以什么权限启的，根据我自己的观察，大伙为了方便这个模块都会启用，而且一般情况下都会用root跑。不用root跑会有很多麻烦事情。在这样的情况下，某些时候不得不说也方便了方便黑客更好的到访,这里很多朋友都报着这样的想法，zabbix在内网，外网访问不了，即使有注入或弱口令或默认口令黑客也无法访问，下面用实例来告诉你这样的想法是错的，不管你信不信，反正我是信了。

数据序列化，这是个很常见的应用场景，通常被广泛应用在数据结构网络传输，session存储，cache存储，或者配置文件上传，参数接收等接口处。主要作用是为了能够让数据在存储或者传输的时候能够单单只用string的类型去表述相对复杂的数据结构，方便应用所见即所得，直接进行数据交流处理。