背景 说来惭愧，6 年的 web 编程生涯，一直没有真正系统的学习 web 安全知识（认证和授权除外），这个月看了一本《Web 安全设计之道》，书中的内容多是从微软官方文档翻译而来，这本书的含金量不高，不过也不能说没有收获，本文简单记录一下我学习 Web 安全方面的笔记。 本文不涉及 IIS ...

工具用了不总结，使用命令很容易生疏，今天就把笔记梳理总结一下。 0x01 简介 WFuzz是用于Python的Web应用程序安全性模糊工具和库。它基于一个简单的概念：它将给定有效负载的值替换对FUZZ关键字的任何引用。是一款很好的辅助模糊测试工具。它允许在HTTP请求里注入任何输入的值，针对 ...

基础知识 文件包含指的是一个文件动态引用另一个文件，这是一种非常灵活的动态调用方式。有点类似Java引用jar包，但区别在于jar包引用后一般是固定不变的(一般不能动态改变所引用的jar包名称)，而 ...

一、为何要了解Web安全 　　最近加入新公司后，公司的官网突然被Google标记为了不安全的诈骗网站，一时间我们信息技术部门成为了众矢之的，虽然老官网并不是我们开发的（因为开发老官网的前辈们全都跑路了）。我们花了很多时间做Web安全扫描以及修复，在检查和修复过程中，发现老系统的代码的不可 ...

nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统。它是网络管理员必用的软件之一，以及用以评估网络系统安全。 —— 来自百度百科 那么今天带大家来揭露Nmap的另一个面纱 ，那就是脚本 ...

结合DoS压力测试工具slowhttptest来学习利用方式，slowhttptest包括三种攻击模式Slowloris, Slow HTTP POST, Slow Read attack。 slowhttptest介绍：https://www.cnblogs.com/shenlinken/p ...

DoS是利用网络协议缺陷，或者暴力攻击的方式，耗尽服务器资源，让目标计算机或网络无法提供正常的服务或资源访问（服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接等）。 实现DoS有很多 ...