WebGoat是一个渗透破解的习题教程,分为简单版和开发版,GitHub地址.

Rails是Ruby广泛应用方式之一，在Rails平台上设计出一套独特的MVC开发架构，采取模型（Model）、外观（View）、控制器（Controller）分离的开发方式，不但减少了开发中的问题，更简化了许多繁复的动作。

目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁，目前看到的修复方法无非两条：

1. 使用SerialKiller替换进行序列化操作的ObjectInputStream类;
2. 在不影响业务的情况下，临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class"文件。

二哥说过来自乌云，回归乌云。Web400来源于此，应当回归于此，有不足的地方欢迎指出。

我不否认前端在处理XSS的时候没有后端那样方便快捷，但是很多人都在说过滤XSS的事就交给后端来做吧。前端做没什么用。我个人是非常反感这句话的。虽然说前端防御XSS比较麻烦，但是，不是一定不行。他只是写的代码比后端多了而已。而且前端防御XSS比后端防御XSS功能多，虽说后端也可以完成这些功能，但是代码量会比前端代码多很多很多。其实说了那么多，交给nginx||apache||nodeJs||Python会更好处理。但是我不会C，也就没办法写nginx模块了。而且也不在本文章的范围内，等我什么时候学会C再说把。

虽然验证码发展到如今有许多人类都难以识别的状态了，但人有部分老系统使用的验证码异常的简单。还有一些网站由于程序员本身的素质或者缺乏相关图像相关的知识，所以并没有自己写验证码的生成程序，而是直接在网上随便复制粘贴一个Demo级别的代码来用，以达到网站有验证码的目的，而忽略了验证码的强弱性，导致很多网站的验证码都是爆款弱验证码

黑产乃法外之地，被丛林法则所支配。没有了第三方强制力量的保障和监督，在那个圈子里我们可以看到两个极端：想做大生意的往往极重信誉，而那些只想捞一票就走的则会肆无忌惮地黑吃黑。

2015年12月中，360天眼实验室发布了“网络小黑揭秘系列之黑色SEO初探”，简单揭露了下网络上的黑色SEO活动，同时也提到了很多黑客工具中带有后门，其中就包括了某些使用面非常广的工具。没错，这回我们的主角是小黑们最喜闻乐见的中国菜刀。

在阐述java反序列化漏洞时，原文中提到：

本文源于老外@nvisium在其博客发表的博文《Injecting Flask》，在原文中作者讲解了 Python 模板引擎Jinja2在服务端模板注入 (SSTI) 中的具体利用方法，在能够控制模板内容时利用环境变量中已注册的用户自定义函数进行恶意调用或利用渲染进行 XSS 等。

首先我们要说的是，这个XSLT应该这么断句：XSL-T。XSL指的是EXtensible Stylesheet Language，中文被很直白地翻译成扩展样式表语言。这种语言和xml有莫大关系：XSL之于XML相当于CSS之于HTML。HTML的每个元素都是预定义好的，比如<table>用来定义表格，浏览器也知道怎么识别这个标签，此时CSS就能轻松地告诉浏览器该怎么显示这个表格，然而由于XML里面的任何标签都可以由程序员自己定义，所以需要一种XSL语言来描述如何显示xml文档。这是一篇web安全文章，所以我们还是讨论web相关的xsl安全，而支持在web上调用的是xslt v1，所以我们只讨论version1发生的故事。

在做渗透测试的时候，我发现有个应用程序包含了form表单，其中有一个经过base64编码的hidden属性的参数名叫"state"，包含了一些字符串和二进制数据。

之前看了seay写的PHP代码审计的书，全部浏览了一遍，作为一个代码审计小白，希望向一些和我一样的小白的人提供一下我的收获，以及一个整体的框架和常见漏洞函数。这也算是这本书的一个学习笔记吧，可以结合我捋顺的思路来看这本书。: )

对于protobuf over-HTTP的数据交互方式Burpsuite不能正确的解析其中的数据结构，需要Burpsuite扩展才能解析，笔者使用mwielgoszewski的burp-protobuf-decoder【1】扩展实践了protobuf数据流的解析，供有需要的同学学习交流。笔者实践使用的环境： burpsuite+python2.7+protobuf2.5.0。

这篇是我前几个月在CSDN开发者大会上讲的账号通行证安全相关的PPT《我的通行你的证》的文字整理版，稍微补充了点内容。因为懒一直没时间写，但年关将至，想到可以为老家的孩子们多挣点压岁钱……

分享个中间人攻击姿势，屡试不爽。

原本是篇老文，不过写的太啰嗦。今天用简明的文字，重新讲一遍。