记录分享学习生活

科普

XSS漏洞是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。

在web渗透测试以及CTF中经常可以遇到源码泄露的问题，本文对常见的源码泄露进行了一个总结，有新的姿势持续

近日发现一本老司机中文版的burpsuite开车指南，分想给大家，另外附上工具一份；
而且带有实例说明，适合学习。
补充
burpsuite 使用gitbook手册：
https://t0data.gitbooks.io/burpsuite

总结一些tomcat加固的要点：
1、删除$CATALINA_HOME/webapps下默认的所有目录文件。因为线上是不使用 Tomcat 默认提供的管理页面，另外删掉管理页面的两个配置文件

本文将对dns域传送漏洞进行分析与总结，如有错误，欢迎指出。谢谢!

0x00 基础

DNS: 网域名称系统（英文：Domain Name System，缩写：DNS）是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访

前言（扯犊子）：

做为一名在前线的信息安全从业人员，应急响应技术是必不可缺的，在常见的安全保障模型P2DR模型中，response（响应）占据了其中重要的一个环节。

介绍

记得以前形容人的能力一般是用智商、情商来形容，但是到了现在这个信息澎湃的时代，搜商也愈来愈发重要，在渗透测试或者其他日常生活中，掌握好搜索技巧经常能事半功倍。

基础

SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具。主要可以用来判断可注入的参数、注入的方式，识别数据库种类，读取数据，命令执行等作用。

注入模式：基于布尔的盲注、基于时间的盲注、基于报错注入、联合查询注入、堆查询注入

支持的数据库：MySQL, Oracle, PostgreSQL, Microsoft SQL Server,

xx狗静态查杀大致分析

目前，传统的WAF软件主要通过定时或是由管理员手动对网站

简介

OpenStack是一个旨在为公共及私有云的建设与管理提供软件的开源项目;是IaaS(基础设施即服务)组件，让任何人都可以自行建立和提供云端运算服务。此外，OpenStack也用作建立防火墙内的“私有云”（Private Cloud），提供机构或企业内各部门共享资源。

构建思路

第一步是设置正确的硬件和网络环境。尽管OpenStack允许在一个单一的平面网络上部署一切，从安全的角度来看并不安全。