AWVS提供了自定义的脚本编程接口，可是网上的资料很少，只有官方的几篇介绍和参考手册，最近研究了一下怎么编写AWVS的漏洞脚本来写一篇简单性的文章，大家有兴趣的可以交流。

很多人经常会把Unicode和utf-8的概念混淆在一起，甚至会拿它们去做比较。实际上这种比较是非常的荒谬的。这就犹如拿“苹果”和“僵尸”去做比较，当然我觉得可以是更夸张的例子。所以，首先需要声明的是Unicode不是字符编码。我们可以把Unicode看做是一个数据库，不同的码点(code point)会指向不同的符号（如下图所示）。这是一种很简单想法，当你说出一个符号的码点时，别人就会知道你在说的是什么符号。当然了，如果他不知道也可以去查询Unicode表。

当时dns反射攻击爆发的时候，我就开始研究snmp的反射攻击（实际可以达到20倍的放大效果），在2013年夏天就已经理论研究完成，后来实现工具化。最后还差规模化（武器化）。其实，是国外在2013年初，就有只言片语叙述snmp的反射攻击，但是没有一篇完整的文章，最近在微博上看到很多朋友转载国外的信息，我觉得，如果再不把自己所研究的放出来刷刷存在感，让我这个rank9的人活不下去了。

下面图中的eecs.cc为笔者自建的一台具有私有根的DNS服务器，且对外开放了区域传送权限，故有结果：cc区域传送成功。该图只是一个实验验证，下面文章正式开始！

关于验证码和验证码破解的入门，请看：http://drops.wooyun.org/tips/141

什么是reCaptcha？

reCaptchas是由Google提供的基于云的验证码系统，通过结合程序生成的验证码和较难被OCR识别的图片，来帮助Google数字化一些书籍，报纸和街景里的门牌号等。

现代软件设计中，极简不是特别重要的特性。
并不是因为程序员编写的代码多，而是由于许多库通常都会静态链接到可执行文件中。如果所有的外部库都移入了外部DLL文件中，情况将有所不同。(C++使用STL和其他模版库的另一个原因)
因此，确定函数的来源很重要，是否来源于标准库或者其他著名的库(比如Boost，libpng)，是否与我们在代码中寻找的东西相关。

在J2EE远程代码执行中,大部分的代码执行情况的本质是,能够从外部去直接控制Java对象(其他语言暂不讨论,其实也差不多),控制Java对象大致包括几种情况:直接new对象;调用对象的方法(包括静态方法);访问对象的属性(赋值)等

一段简单的购买程序，看起来没有任何问题。
剩余余额、商品库存、购买权限等判断面面俱到，从头到脚包装的严严实实。
但是为何人一多就频频漏点呐？何解？

这里安装CentOS6系统同样是使用最小化安装，仅安装@Base @Development Tools @Development Library

在android的sdk中封装了webView控件。这个控件主要用开控制的网页浏览。在程序中装载webView控件，可以设置属性（颜色，字体等）。类似PC下directUI的功能。在webView 下有一个非常特殊的接口函数addJavascriptInterface。能实现本地java和js的交互。利用addJavascriptInterface这个接口函数可实现穿透webkit控制android 本机。

注:这一节主要是消除很多人把JSP当作了JavaWeb的全部的误解，了解MVC及其框架思想。MVC是用于组织代码用一种业务逻辑和数据显示分离的方法，不管是Java的Struts2、SpringMVC还是PHP的ThinkPHP都爆出过高危的任意代码执行,本节重在让更多的人了解MVC和MVC框架安全，由浅到深尽可能的照顾没Java基础的朋友。所谓攻击JavaWeb，如果连JavaWeb是个什么，有什么特性都不知道，就算能用Struts刷再多的RANK又有何意义？还不如沏一杯清茶，读一本好书，不浮躁，撸上一天。

Rsync，remote synchronize顾名思意就知道它是一款实现远程同步功能的软件，它在同步文件的同时，可以保持原来文件的权限、时间、软硬链接等附加信息。
rsync是用 “rsync 算法”提供了一个客户机和远程文件服务器的文件同步的快速方法，而且可以通过ssh方式来传输文件，这样其保密性也非常好，另外它还是免费的软件。

通常一些web应用我们会使用多个web服务器搭配使用，解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等！
例如：Nginx+ Tomcat的分层结构（在下文中，我们也使用此例说明相关问题）
Nginx是一个高性能的 HTTP 和 反向代理 服务器 。