背景 說來慚愧，6 年的 web 編程生涯，一直沒有真正系統的學習 web 安全知識（認證和授權除外），這個月看了一本《Web 安全設計之道》，書中的內容多是從微軟官方文檔翻譯而來，這本書的含金量不高，不過也不能說沒有收獲，本文簡單記錄一下我學習 Web 安全方面的筆記。 本文不涉及 IIS ...

工具用了不總結，使用命令很容易生疏，今天就把筆記梳理總結一下。 0x01 簡介 WFuzz是用於Python的Web應用程序安全性模糊工具和庫。它基於一個簡單的概念：它將給定有效負載的值替換對FUZZ關鍵字的任何引用。是一款很好的輔助模糊測試工具。它允許在HTTP請求里注入任何輸入的值，針對 ...

基礎知識 文件包含指的是一個文件動態引用另一個文件，這是一種非常靈活的動態調用方式。有點類似Java引用jar包，但區別在於jar包引用后一般是固定不變的(一般不能動態改變所引用的jar包名稱)，而 ...

一、為何要了解Web安全 　　最近加入新公司后，公司的官網突然被Google標記為了不安全的詐騙網站，一時間我們信息技術部門成為了眾矢之的，雖然老官網並不是我們開發的（因為開發老官網的前輩們全都跑路了）。我們花了很多時間做Web安全掃描以及修復，在檢查和修復過程中，發現老系統的代碼的不可 ...

nmap是一個網絡連接端掃描軟件，用來掃描網上電腦開放的網絡連接端。確定哪些服務運行在哪些連接端，並且推斷計算機運行哪個操作系統。它是網絡管理員必用的軟件之一，以及用以評估網絡系統安全。 —— 來自百度百科 那么今天帶大家來揭露Nmap的另一個面紗 ，那就是腳本 ...

結合DoS壓力測試工具slowhttptest來學習利用方式，slowhttptest包括三種攻擊模式Slowloris, Slow HTTP POST, Slow Read attack。 slowhttptest介紹：https://www.cnblogs.com/shenlinken/p ...

DoS是利用網絡協議缺陷，或者暴力攻擊的方式，耗盡服務器資源，讓目標計算機或網絡無法提供正常的服務或資源訪問（服務資源包括網絡帶寬，文件系統空間容量，開放的進程或者允許的連接等）。 實現DoS有很多 ...