摘要： 测试一个网站，自己的思路1.打开大概了解一下程序的主要功能，比如是什么类型的网站啦，支持的业务有哪些啦，等等。2.用云悉进行指纹识别，识别出系统类型3.用nosec.org看下有什么收录的有用的url4.用dirfuzz查看敏感目录5.测试输入点，还有url参数，看是不是有没有过滤的输入，还有是否有360等软件拦截，这里主要是测试是否有xss漏洞，或者sql注入... 阅读全文

摘要： 前言：有人在github上发了一些关于安全方面的一些各公司的面试题，因为自己一直对于自己的能力不甚了解，并且也没有在各大src上挖过洞，就先做下这些题，让自己对自己的能力有一些了解 这里给出这个项目的链接，大家有兴趣也可以自己练习一下 https://github.com/SecYouth/sec- 阅读全文

摘要： 本文来自对看雪论坛一篇文章的学习的记录:https://bbs.pediy.com/thread-210876.htm 一.认证的测试 目前很多页面在注册前采用ajax，jquery无刷新判断用户名是否注册，引入账户名枚举问题 客户端ajax代码 function validatorloginNam 阅读全文

摘要： 今天的学习仍然没有特别明确的计划，也许自己不应该再徘徊，专心做java编程挺好的啊，也许还能找到不错的工作，可是自己始终还是想成为一个研究安全的人，只是不知道自己在毕业的时候能不能成长到靠安全来养活自己。 早上主要的话就是学习了一下maven的使用，对maven 有了一定的了解，可是无奈在使用的时候 阅读全文

摘要： 从我开始学java开始，我的梦想就是能够通读一个网站程序的源码，因为我觉得当有这么一天的时候，自己的java应该学的可以了，就可以去审计代码了。 今天呢，这个梦想算是完成了吧，自己可以看懂一篇crm程序。 打开程序，从实体设计开始，到dao，然后就是servlet实现的逻辑，自己并没有去通读每个代码 阅读全文

摘要： ssrf学习 ssrf形成原因 ssrf形成原因是由于服务端提供了从其他服务器应用获取数据的功能却没有对目标地址做过滤与限制。导致可以从其他服务器获取数据 ssrf攻击的目标是从外网无法访问的内部系统 ssrf的危害： 1.可以对外网，服务器所在的内网，本地进行端口扫描，获取服务的banner信息 阅读全文

摘要： javaweb-cs应用交互安全 修改请求头验证xss Tamper Data修改请求头 moify Headers自定义的修改headers:自定义要修改的headers部分，然后save.然后点击start状态 修改请求头的作用是某些业务逻辑下需要去记录用户的请求头信息到数据库，通过伪造请求头到 阅读全文

摘要： java复习过程中的知识点总结 关于泛型 为什么使用泛型？ 集合可以存储任意对象，但是如果需要使用对象特有的方法，需要类型转换，如果集合存入的对象不同，会出现类型转换异常。而且在编译期无法发现问题。可以在类型转换的时候通过if语句进行类型检查（instanceof）,不过效率并不高。因此引入了泛型的 阅读全文

摘要： 2017-10--7 学习心得 我之所以要努力，是因为想按照自己想的生活方式生活 第一次写东西，只是为了对学习的过程有个总结，也是看别人写的东西的小总结，我觉得在总结的过程自己对别人讲的东西才有更深刻的理解，文章并非本人原创，现在也远远没有写一篇好文章的水平，希望自己可以把写博客这件事坚持下去，不断 阅读全文