摘要： 目录：1.sql注入获取数据库信息2.sql注入绕过管理后台登录3.反射型xss4.存储型xss5.csrf6.文件上传7.暴力破解8.目录遍历9.权限跨越10.文件包含11.未知漏洞web漏洞演练平台：https://pentesterlab.com/web_for_pentester.htmlweb漏洞演练平台使用手册及答案详解：https://pentesterlab.com/web_for_pentester/web_for_pentester.pdf摘自：http://www.i0day.com/ 阅读全文

摘要： 大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发生，所以我们必须采取一些措施来保护用户的密码，即使网站被攻破的情况下也不会造成较大的危害。如果你还在存储用户密码的MD5,那可真的有点弱了。赶紧来看看这篇文章吧。保护密码最好的的方式就是使用带盐的密码hash(salted password hashing).对密码进行hash操作是一件很简单的事情，但是很多人都犯了错。接下来我希望可以详细的阐述如何恰当的对密码进行hash，以及为什么要这样做。重要提醒如果你打算自己写一段代码来进行密码hash，那么赶紧停下 阅读全文

摘要： 一、综述有些XSS漏洞由于字符数量有限制而没法有效的利用，只能弹出一个对话框来YY，本文主要讨论如何突破字符数量的限制进行有效的利用，这里对有效利用的定义是可以不受限制执行任意JS。对于跨站师们来说，研究极端情况下XSS利用的可能性是一种乐趣；对于产品安全人员来说，不受限制的利用的可能是提供给开发人员最有力的证据，要求他们重视并修补这些极端情况下的XSS漏洞。突破的方法有很多种，但是突破的思想基本都一样，那就是执行可以控制的不受限制的数据。二、突破方法2.1 利用HTML上下文中其他可以控制的数据可控的安全的数据alert(/xss/);由于XSS点有字符数量限制，所以这里只能弹框，那么我们可 阅读全文