摘要：HSTS是HTTP Strict Transport Security的缩写，即："HTTP严格安全传输"。当浏览器第一次访问一个HSTS站点,会跳转到https页面,并种植hsts,下次再访问此站时,只要HSTS 还在有效期中,浏览器就会响应一个 HTTP 307 头,在不经过网络请求直接本地强制http跳转到https。这样可以有效防止基于SSLStrip的中间人攻击,对于伪造的证书，会显示错误，并且不允许用户忽略警告。 一个hsts 站点响应的例子: 阅读全文

摘要：基于zmap 的应用层扫描器 zgrab (一) ## 介绍 zgrab 是基于zmap无状态扫描的应用层扫描器,可以自定义数据包,以及ip,domain之间的关联。可用于快速指纹识别爆破等场景。 ## 安装 * go环境 * zgrab ```bash go get github.com/zmap/zgrab cd $GOPATH/src/github.com/zmap/zgrab go build ``` 阅读全文

摘要：记录一些排查常见日志的命令,方法wiki,欢迎补充 。 https://github.com/yaseng/pentest/blob/master/note/audit-log.md 阅读全文

摘要：xss 刷票的 经典案例 阅读全文