我个人对黑客和网络安全比较感兴趣，时常关注这方面的新闻。我们知道这些安全问题都是软件程序有Bug导致的，例如CSDN的数据库泄露事件、携程泄露用户银行卡信息事件、电商网站被用户篡改购买支付金额等等。
 
    在软件项目开发时，安全一直是一个比较容易忽略的问题，但这也会导致很严重的损失，所以我们在软件开发时必要对安全问题引起重视，防患未然，构建安全软件。
 
    我们今天一起讨论一下软件开发中的安全问题。
 
安全问题本质是技术风险
 
    安全问题本质上是一种技术风险，没发生问题的时候大家一切平安，一旦发生问题就会有严重的影响。所以对待安全问题，我们可以借鉴对风险管理的方法来改进软件的安全问题，也就是风险识别、风险量化、应对计划和风险监控。
 
    我们做风险管理的时候，首重之重就是识别风险和对风险的量化，对于安全问题，我们要思考一下，软件项目中安全问题的主要来源是什么？
 
第一类：恶意输入
大多我们熟知的软件安全问题都属于此类型，就是黑客通过恶意输入，然后绕过软件限制对系统进行攻击和破坏
 
    像SQL注入，就是黑客把SQL命令输入到软件的输入框或网页的URL查询参数，欺骗服务器，执行恶意的SQL命令，这种可以绕过密码验证，登录管理员账号，或者删除数据库数据，甚至控制服务器，当成肉鸡对网络发起泛洪攻击。
 
    还有像XSS攻击，将恶意代码通过外部参数或者用户输入的方式植入网页中，获取用户的Cookie等敏感信息、盗用管理员权限，甚至非法转账。
 
    上面的问题都可以归结为恶意输入导致的，应对恶意输入的问题，最简单有效的方式就是对用户输入数据进行严格的检查校验和格式化。
 
第二类：假冒身份
    很多程序对于用户身份检验比较弱，会导致黑客假冒用户身份做出超越权限的事情。
 
比如有的网站把后台入口隐藏起来，不做权限控制，导致黑客猜到地址后就可以进入后台操作。
 
    还有的游戏后台不做验证，直接接收传入的数据，导致伪造游戏用户发送数据破坏游戏公平。
 
    这类问题应对策略就是对用户的身份做验证，尤其是涉及敏感权限的操作，甚而做两重验证。
 
第三类：数据泄露
    很多软件数据库都存储了用户的敏感信息，比如用户账号密码信用卡信息或者服务器的敏感信息，比如数据库连接字符串、登录账号密码，这些数据是有被泄露风险的。
 
    一些软件甚至会把服务器上的敏感信息打包到程序中，要知道程序会被反编译从而导致敏感数据泄露，携程泄露用户银行卡信息事件就是因为把用户信用卡信息记录在日志中，日志泄露导致用户信用卡也被泄露，造成盗刷等等严重问题。
 
    还有CSDN，对用户密码铭文存储到数据库中，数据库泄露之后，用户密码也跟着泄露，而且现在大多数用户都习惯于使用统一的密码，导致一起泄露。
 
    所以，对于软件来说，我们不能假设数据存储是安全的，而是要考虑到数据是有泄漏的可能，提前做好预防措施，对敏感数据加密。
 
如何预防软件中的安全问题
 
    在风险管理中，对风险识别和量化后，接下来就是要制定应对计划了。
 
    很多开发人员觉得安全问题，只要在软件开发完成后，测试阶段做一个安全测试就可以了，但这种做法完全把安全问题留到了最后环节，是很难达到对安全问题进行高质量管控的。为什么呢？
 
    一方面对于安全测试来说，很难覆盖到所有可能存在的场景，会出现疏漏，另一方面，如果测试阶段发现安全问题，可能需要修改很多代码，甚至架构要重新设计，成本代价太高。
 
    很显然，应对安全问题，最好的方式就是整个生命周期都做到重视安全问题。
 
需求阶段
 
    需求是软件项目的源头，在确定需求，做产品设计的时候，不仅要考虑到功能上的需求，同时还要考虑到安全方面的要求，这样我们在设计架构的时候，不会轻易遗漏安全方面的架构设计。
 
    需求阶段，涉及用户输入的内容，需要考虑到可能的恶意输入，做出针对性的预防措施；对于涉及用户权限的，要求有身份的验证，甚至一些安全要求极高的，可以在需求商就要求做双重验证；对于有敏感数据的，需求商要对数据进行加密。
 
    举例，用户登录功能，安全方面的需求，我们可以考虑到如下功能：
 
登录网页使用Https或者在传输密码时加密；
增加图形校验码，避免恶意攻击；
密码失败次数过多，应该锁定用户一段时间；
记录用户登录IP；
我们在需求阶段就提出了安全性的需求，设计、实现和测试时自然不会遗漏掉安全方面的内容，从源头上就让大家有了安全方面的意识。
 
设计阶段
 
    做设计架构时，我们就要把安全加入到设计目标中，有了这个设计目标，我们自然能找到很多安全相关的解决方案。
 
    为了保障在设计时就考虑好安全方面的问题，我们在做架构设计方案评审时，也需要增加安全方面的评审，确保有安全方面的考虑，确保技术方案切实可行。
 
    在架构设计领域，我们也有了业界公认的好的安全相关的设计原则，比如攻击面最小化、权限最小化、纵深防御等。
 
攻击面最小化
攻击面指程序被用户直接访问到的部分，比如API、网站等，而攻击面最小化的设计原则，就是尽量减少暴露黑客可能发现并试图利用的攻击面数量。举例来说，你的数据库应该关闭外网访问，避免黑客直接攻击数据库导致数据泄露，还有对于复杂的多网站业务系统，实行单点认证，就可以让所有业务都在一个地方登录，这一个地方做到足够安全了，那所有的网站的登陆都是相对安全的。
 
权限最小化
权限最小化的设计原则就是对于系统的用户、文件访问、进程运行等，给予其能拥有的最小权限，这样可以保证一个应用程序或者网站被攻击、破解，将损害讲到最低。
 
以前在部署Asp.Net程序时，运行Asp.Net程序是单独一个用户，此用户拥有的权限只能是运行程序目录，不能超出其目录范围，这样即使用户上传了恶意木马文件，也只能控制着一个目录，避免进一步的损失。
 
纵深防御
纵深防御的设计原则，指的是从不同的维度去实施安全保护措施，从而缓解被攻击的风险。纵深防御的核心是从不同的层面、不同的角度对系统做出整体的解决方案。
 
    我们知道国内中小电商，一半以上早年都在犯过一个错误，就是电商的交易和支付系统之间流程是这样的，我买一台显示器1500，把钱交给支付系统，支付请求是从用户侧浏览器发出的，用户不可见，但是攻击者实际上可以修改这个数据，把浏览器提交的数据改为1，支付系统返回OK，表示收到款项，交易系统看到支付成功了，就跳到安排发货，用户就1元买到显示器了。
 
    从系统的整体角度考虑，显然不仅要校验交易有没有成功，还要校验交易的金额是否匹配。
 
开发阶段
 
    在编码规范时我们要多用户输入数据进行校验；涉及权限的操作，要检查用户权限；对于敏感数据要进行加密处理；对于用户的操作，要有日志记录；不能在日志中记录敏感信息等等。要有代码审查，及时发现代码中的安全问题。增加安全相关的自动化测试，和CI集成。
 
测试阶段
 
    测试阶段，除了功能测试以外，还要增加对安全性方面的测试，除了增加相应的测试用例，还可以借助一些安全测试工具。
 
上线维护
 
    上线部署时，不部署源代码，只对编译后程序部署；删除Debug文件。对服务器进行安全设置，严格限制端口，只保留必须的端口；只对少数服务器开放服务；开启操作日志；对访问目录设置最小的权限；
 
如果真的出现了安全问题怎么办？
 
    安全问题就像程序的Bug一样，没有谁能保证绝对的安全，风险管理的最后一步风险监控说的有道理，我们必须做好Plan B，出现问题马上应对，将损失降到最低。
 
    首先，设立应急的流程，出现安全问题了，根据流程，找到第一责任人，立即解决问题回复生产，避免进一步损失。
 
    其次，要分析程序的漏洞，通过分析日志，找出漏洞
 
    最后，总结原因，从错误中吸取教训，看问题是在哪个环节导致的，必要的话，改进开发流程，避免类似的安全问题再次发生。

 
安全测试
 
1.安全测试在做什么？
2.安全测试者是怎样定位自己的？
3.安全的本质是什么？
4.概念定义
5.我们应该如何去着手
5.1.测试的特性
5.1.1.操作系统安全
5.1.2.数据库
5.1.3.web安全
5.1.4.软件的发布与安装安全
5.1.5.协议与接口攻防
5.1.6.敏感数据保护
5.1.7.手机端安全
5.1.8.静态代码分析（纯白盒）
    
5.2.WEB安全测试
5.2.1.身份验证
5.2.2.验证码 （普通验证码、知识验证码、无需思考的滑动验证码）
5.2.3.会话管理
5.2.4.权限管理
5.2.5.敏感信息传输及存储
5.2.6.安全审计
5.2.7.信息泄露
5.2.8.输入校验
5.2.8.1.XSS（跨站点脚本攻击）
5.2.8.2.SQL注入
5.2.8.3.XML注入测试
5.2.8.4.代码执行
5.2.8.5.CRLF漏洞
     
5.2.9.上传下载
5.2.10.CSRF
5.2.10.1.URL重定向（跳转）漏洞：
     
5.2.11.CORS漏洞
5.2.12.SSRF漏洞（服务端请求伪造）
5.2.13.Google黑客
5.2.14.其他
5.2.15.重放攻击
5.2.17.其他组件安全
5.2.17.1.Nginx
5.2.17.2.Jquery
5.2.17.3.Java漏洞
5.2.17.4.百度Ueditor（1.4.3）
5.2.17.5.Node.js(超声视频使用)
5.2.17.6.Spring
5.2.17.7.Mybitas
5.2.17.8.Druid
5.2.17.9.Turnserver
5.2.17.10.Terracotta(session共享)
5.2.17.11.phpMyAdmin
5.2.17.12.Redis
5.2.17.13.Fastjson开源jar
     
5.2.18.Web木马
    
5.3.敏感数据保护
5.3.1.加密算法
5.3.2.证书
5.3.2.1.证书加密算法的检查
     
5.3.3.明文密码
5.3.4.源代码敏感信息检查
    
5.4.协议与接口攻防
5.4.1.端口扫描
5.4.2.端口服务探测
5.4.3.REST WEB Service（接口协议）
5.4.4.SOAP
5.4.5.SSH协议
5.4.6.IM服务-XMPP协议
5.4.7.外部接口安全
5.4.8.SSL/TSL
5.4.9.WiFi安全
    
5.5.操作系统安全
5.5.1.本地提权
5.5.2.各种木马
5.5.3.密码破解
    
5.6.数据库安全
5.8.手机端的安全
5.9.静态代码分析（纯白盒）
   
6.安全测试的原则
7.参考资料
8.系统结构简图
9.涉及的常用工具
9.1.文件名上传XSS
9.2.XXE漏洞详解
9.2.1.XXE任意文件读取
9.2.2.XXE拒绝服务攻击
   
   
10.名词解释
11.那些网络大牛们的语句
12.其他
👇👇👇少侠，留个赞再走哦 ！
 

 
1.安全测试在做什么？
 
扫描？在很多人的眼中，做安全的就是整天拿个工具在哪里做扫描操作，使用各种不同的工具做扫描。是的，扫描是安全测试的很重要的一部分，扫描可以快速有效的发现问题。扫描工具的易用性、方便性决定了重要地位。但是扫描工具的局限性、程序的不够灵活等缺点也是显而易见的。不管是扫描报告的分析、漏洞的深度挖掘、测试的组织等等的工作都离不开安全测试人员，所以只能说扫描工具减轻了测试人员的工作量，是安全测试的一种手段。
 
2.安全测试者是怎样定位自己的？
 
我们经常可以从身边的朋友口中听到一些有关安全的名称，向什么软件安全、信息安全、网络安全、计算机安全等一些词组，这些领域都是做安全的，那么我们是属于哪一个呢？
 大家可以上百度百科查看下这些词组的概念。软件安全往小了说就是某一个软件产品，说大了除了硬件就是软件了啊。信息安全看名字我们就知道关键是信息两个字，但是什么是信息呢，客户的数据还是一切有用的数据？网络安全，什么是网络，网络系统硬件、软件这都是写模糊的可大可小的概念。在看计算机安全，PC？服务器？路由器？好吧我们可以看到这些概念往大了说就成了组成我们今天互联网的各种设备包括各种的嵌入式机器、外接USB、浴室柜尺寸价格专卖蓝牙等设备的共同体的硬软件，以及使用、维护、木桶箱子专卖厂家价格管理等这些东西的人的整个的安全问题。在看他们的区别，他们已不同的地方作为其主要关注点，或者说出发点，他们并没有明显的界线却有着自己的侧重点。而我们的侧重点是什么呢，我们产品是一个什么样的产品呢？我们有WEB服务、接口服务、文件服务、视屏等服务等我们把它们统一称为我们的系统，那么我们就是在做这个系统的安全测试，所以我觉得我们应该定位为系统安全测试。
 当然我们的系统运行中也涉及到人、涉及到硬件，
 比如这些站安全比较好
 此处都不是我们的关注点，我们只从软件技术的角度来识别它。那么，系统安全测试就成了区别于功能测试，和性能测试一样，单独列出来的专项测试了。
 
3.安全的本质是什么？
 
信任、人性（网络安全的最大漏洞是人）、止损、攻防
 以上是当前网上一些主要的论点，以信任或者不信任作为本质出发点的还是占据主流的。
 
4.概念定义
 
敏感数据：
 敏感数据的具体范围取决于产品具体的应用场景，产品应根据风险进行分析和判断。典型的敏感数据包括口令、银行帐号、大批量个人数据、用户通信内容和密钥等。
 个人数据：
 指直接通过该数据或者结合该数据与其他的信息，可以识别出自然人的信息。
 匿名化：
 指对个人数据进行的更改（例如单向散列、截短、替换等，如需保留个人数据真实值与替换值之间的对应关系，可以使用对称加密或映射表方式，但密钥/映射表必须由数据所有者控制），使原来有关个人的信息不再能归属到一个可识别的自然人，或推理这种归属需要耗费过多、不相称的时间、费用和精力
 
5.我们应该如何去着手
 
如何着手去做这个系统安全测试呢？作为一个测试人员要保证系统整体的安全，这就需要有一个整体的结构的框架，就像盖房子一样，先造钢筋混凝土框架，然后砖块去填充它。这里的钢筋混凝土框架就是安全特性方向，其实就是从整体方向上的一个划分，可以有如下简单的划分。
 
5.1.测试的特性
 
安全特性：操作系统安全、数据库安全、WEB安全、软件的发布和安装安全、协议与接口攻防、敏感数据保护、手机端安全、静态代码分析。
 
5.1.1.操作系统安全
 
操作系统安全我们可以把它分为以下几块：
 系统漏洞（操作系统补丁）、系统配置（安全加固）
 业界权威工具Nessus，其他如retina、绿盟、天镜等。开源的工具可以使用OpenVAS。
 
5.1.2.数据库
 
数据库安全我们可以把它分为以下几块：
 数据库漏洞（补丁）、数据库配置特产（安全加固）
 工具可以使用Ngs
 
5.1.3.web安全
 
数据库安全我们可以把它分为以下几块：
 身份验证、验证码、会话管理、权限管理、敏感信息传输、安全审计、信息泄露、输入校验、输出编码、上传下载、异常处理、注释代码等
 容器的安全（tomcat）
 应用软件安全（nginx、负载均衡软件、jquery等）
 扫描工：appScan、awvs
 
5.1.4.软件的发布与安装安全
 
发布件的完整性校验（签名、哈希）
 防病毒：需要安装的软件需要经过常用的杀毒软件（如360、卡巴斯基、金山毒霸等）的扫描，保证没有病毒特种码，以免被杀软处理掉。
 
5.1.5.协议与接口攻防
 
业务交互数据在网络中使用的协议安全性测试
 协议测试工具：codenomical
 对外开放的端口:系统对外开放的端口必须是必须的，禁止开放无用端口
 端口扫描工具：Nmap，近端可以直接在服务器上使用命令查看
 接口：接口接受的数据需要做严格的处理
 接口数据严格校验测试
 
5.1.6.敏感数据保护
 
识别敏感数据：密码、秘钥、会话标识；个人信息、商业机密、客户信息等
 保护：加密、存储位置、传输方式；获取数据脱敏、匿名化
 
5.1.7.手机端安全
 
1、app的签名、反逆向
 2、用户隐私
 3、文件权限
 4、网络通讯
 5、运行时解释保护
 6、组件权限保护
 7、升级
 8、3rd库
 
移动APP测试要点：http://blog.nsfocus.net/mobile-app-security-security-test/
 
5.1.8.静态代码分析（纯白盒）
 
白盒测试主要是通过对代码的浏览来发现问题，当然问题的类型可能是跟我们黑灰盒总结的一致，拿出来单独讲是因为其不同于其他的测试方式。
 1、危险函数、方法
 2、工具检测
 3、逻辑漏洞
 
灰盒
 结合白盒和黑盒的一些思路，在实际的代码审计中建议采用灰盒的方式，在需要的地方对代码进行动态调试查看。审计中思路可以考虑如下这些部分：
 1、涉及敏感数据的时候，检查是get、post哪种形式发送数据
 Get传输的数据会被记录在代理、浏览器、web容器tomcat等的日志中
 2、提交铭感数据的时候是否有防止csrf的token、refer、验证码等
 3、sql注入
 1）Statement和preparestatement
 2）mybitas框架 #和$
 4、XSS
 我们用的antisamy只能过滤基于标签的XSS伪造，其他的无法过滤，需要做二次过滤
 5、逻辑
 此处是指，逻辑思路不合理，不符合安全的一些思想，如权限最小化等等
 6、参数范围是否造成dos或者影响系统性能
 7、权限校验、越权
 1)横、纵、多步骤关联性
 2）
 8、session会话管理
 1）常规cookie及session形式
 2）把token作为session的形式，特别注入登录用户和token的绑定关系
 9、参数是否是简单形式，是否可以造成遍历
 10、代码中使用的第三方插件、开源软件是否是最新、是否有安全漏洞
 11、代码中所使用的加密算法，是否是安全的
 12、跳转中的redirect形式中不要带敏感信息，会被发回客户端重新请求的，相当于把这些参数放在了get请求中
 13、SSRF服务端请求伪造，注意url中含有另外一个url的请求
 1）源码中使用urlconnection 支持的协议除了http和https以外，还有file、ftp、jar、mailto等
 request、httpurlconnecttion、httpClient、URL等发起网络请求
 14、加密算法的使用，是否使用的是不合场景的弱算法
 
15、数据插入自增Id攻击
 数据传入过来做插入动作，并且使用spring自动绑定对象方法获取数据，之后使用生成的插入sql
 此时自动增长id不要写到更新语句中，如果写入可能造成恶意注入integer范围最大值2147483647，使功能不可用dos
 16、Spring自动绑定参数，参数扩展攻击
 后台使用的对象参数自动绑定获取，相应的sql使用了自动的if是否为null和为空的判断条件，前台可以根据猜测
 注入队形的相应的属性实现非预料结果
 
5.2.WEB安全测试
 
5.2.1.身份验证
 
为防止密码破解和猜测：
 复杂度要求，必须由大写、小写、数字等组成；
 时效性要求，建议用户3个月更改一次口令；
 密码长度要求，最小8位，最大？位；
 管理员重置密码后密码必须在下次登录更改；
 强度要求，不能跟原密码一致，不能与用户名相似（如，不能包含用户名正写反写大小写等），
 （最新也有说法不建议频繁修改http://www.secdoctor.cn/html/sec/35995.html）
 口令认证必须在服务端进行。
 必须要有验证码机制。
 登录锁定，登录需要有锁定机制即就是多次登录失败后锁定账号或者ip，在一段时间后自动解锁。
 手机验证码轰炸
 手机验证码超时机制
 账户枚举测试
 
弱密码概念：https://help.aliyun.com/knowledge_detail/37509.html?spm=5176.7837442.2.5.ZotsLv
 
5.2.2.验证码 （普通验证码、知识验证码、无需思考的滑动验证码）
 
验证码字符生成算法的安全随机数
 验证码字符不能被验证码识别工具识别
 验证码必须是一次性的
 验证码超时（验证码有效期的意义：1、增加图片处理识别的难度；2、验证码没有有效期的话导致服务器验证码堆积）
 在忘记密码处做安全问答测试
 
建议的验证码形式：
 当前的最流行的滑动块验证码，有点用户无需动脑，不会打断用户的思考。
 （验证码的前世今生：http://www.freebuf.com/articles/web/102276.html）
 
5.2.3.会话管理
 
登录前后会话标示要有变化
 安全退出会话标示注销
 会话标示安全随机
 会话标示的长度适度
 会话超时机制
 会话标识的传输和存储
 会话标识夸PC访问
 
5.2.4.权限管理
 
通过灰化（隐藏）使功能失效
 纵向越权
 横向越权
 权限分离
 （系统管理、安全管理、审计管理
 系统管理员主要负责用户管理和系统日常运作相关的维护工作；
 安全管理员负责安全策略的配置和系统资源安全属性的设定；
 审计管理员则对系统审计信息进行管理）
 参看《关于越权》
 
5.2.5.敏感信息传输及存储
 
敏感信息不能以get方式提交
 传输通道使用https（关键数据提交服务端不接收http明文数据）
 严格安全传输HSTS（确保从浏览器发出的请求就是https的）
 在url中有session
 对用户保密的信息不能传输到客户端
 含有敏感信息的页面需要设置不缓存
 
5.2.6.安全审计
 
登录、退出、操作等都要有日志
 日志格式标准（时间、谁、做了什么操作、结果怎样）
 日志访问的限制
 日志中的敏感信息
 
他们是如何迭代的？日志是否保存足够长的时间？
 日志是如何被审查的？管理员能否通过审查出发现攻击行为？
 日志备份如何保存？
 日志记录数据前是否进行验证（最小最大长度，字符等）？
 
5.2.7.信息泄露
 
数据库版本泄露
 容器版本泄露
 绝对路径泄露
 异常信息泄露
 泄露服务器路径
 泄露容器版本
 泄露程序详细堆栈信息
 源代码泄露
 检测Web网络是否存在源代码泄露漏洞，如果存在此漏洞，攻击者可直接下载网站的源代码。
 管理地址泄露
 网站管理地址属于内部使用的信息，公开增加了安全风险。
 Bak信息泄露
 搜索引擎发现和侦察信息泄露（暂时不涉及）
 服务器指纹探测（使用指纹探测工具whatweb需要在linux上编译运行，httprint–最新的signatures.txt不然识别到不准确）
 
【其他关注项：】
 枚举web服务器上存在的应用程序
 Whois信息收集
 识别Web应用框架
 Owasp测试指南4中文：https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/zh/web_application_security_testing/review_webserver_metafiles_for_information_leakage_otg-info-003.html
 拖库撞库http://blog.nsfocus.net/information-leakage-thinking-library-collision/
 
5.2.8.输入校验
 
前台后台都必须校验（“移除已知的恶意数据”不如移除“良好数据之外的所有数据”）
 
5.2.8.1.XSS（跨站点脚本攻击）
 
XSS-1反射型跨站点脚本编制
 XSS-2存储型跨站点脚本编制（http://xxxxx0000sssss.lofter.com/post/14b1dc_50023e）
 XSS-3 DOM型跨站点脚本编制
 dom xss并不复杂，他也属于反射型xss的一种，domxss取决于输出位置，并不取决于输出环境，因此domxss既有可能是反射型的，也有可能是存储型的)，简单去理解就是因为他输出点在DOM，所以在道哥的《白帽子讲Web安全里》也有详细介绍。dom - xss是通过url传入参数去控制触发的。
 HPP（HTTP参数污染[同名参数]http://blog.csdn.net/eatmilkboy/article/details/6761407）
 漏洞危害：
 1、钓鱼欺骗：最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站，或者注入钓鱼JavaScript以监控目标网站的表单输入，甚至发起基于DHTML更高级的钓鱼攻击方式。
 2、网站挂马：跨站时利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上，或者弹出恶意网站窗口等方式都可以进行挂马攻击。
 3、身份盗用：Cookie是用户对于特定网站的身份验证标志，XSS可以盗取到用户的Cookie，从而利用该Cookie盗取用户对该网站的操作权限。如果一个网站管理员用户Cookie被窃取，将会对网站引发巨大的危害。
 4、盗取网站用户信息：当能够窃取到用户Cookie从而获取到用户身份使，攻击者可以获取到用户对网站的操作权限，从而查看用户隐私信息。
 5、垃圾信息发送：比如在SNS社区中，利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
 6、劫持用户Web行为：一些高级的XSS攻击甚至可以劫持用户的Web行为，监视用户的浏览历史，发送与接收的数据等等。
 7、XSS蠕虫：XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。
 参考：
 https://help.aliyun.com/knowledge_detail/37444.html?spm=5176.7837442.2.11.F8ceHg
 http://blog.csdn.net/change518/article/details/51024706 隐藏域XSS（借助accesskey属性）
 
5.2.8.2.SQL注入
 
(1、java预处理preparestatement；2、正则表达式过滤参数；3、严格字符串过滤；4、参数化的sql)
 例子：参数date=if(now()=sysdate(),sleep(0),0)/‘XOR(if(now()=sysdate(),sleep(0),0))OR’“XOR(if(now()=sysdate(),sleep(0),0))OR”/
 Sql语句中的/斜杠：表示执行，把之前时间内的缓存中的语句再执行一遍
 \斜杠：表示语句未完换行
 单行注释：–
 多行注释：/* */
 If(now()=sysdate(),sleep(2),0)表示如果now()=sysdate(),为真执行sleep(2),否则执行0
 当前形势下，新开发的网站，大部分采用新框架都已经可以预防sql注入了，只有手动拼接的sql语句易被sql注入。
 生成注入用例时注意：
 1）’ 单引号闭合
 2）‘OR 单引号也可以有结束开始下一元素的效果
 3）-- - 注释后面跟空格实现注释不跟后面语句连接，后面实际被注释掉效果
 4）Select CONCAT_WS(0x3A, USER, PASSWORD) FROM mysql.user 获取数据库用户
 5）union all 连接两个select查询结果，合union的区别不去重复；两个select查询的字段一样
 6）insert into mysql.user(Host,User,Password) values("%",“Sectest”,password(“111111”)) 给数据库添加用户 %：远程用户，localhost：本地用户
 
系统使用了MyBatis动态SQL框架组装sql，注意配置文件中的KaTeX parse error: Expected 'EOF', got '#' at position 2: 和#̲的使用，使用可能导致sql注入
 拼接后的语句再放入预编译对象是徒劳的，因为在预编译之前拼接的SQL语句执行逻辑已经被破坏，原 SQL语句的本意已经被改变了。
 
概念：
 https://help.aliyun.com/knowledge_detail/37450.html?spm=5176.7837442.2.10.ZotsLv
 Sql注入常用语句：
 http://www.111cn.net/database/mysql/58518.htm
 http://wenku.baidu.com/link?url=sK_daSqJFJt3KsCuYQOjCkuGldDJSJQbATiRX42UEocanxFejYSjVESnyHPhvDP___hGAbKSLMhh4020TOP9wItRr1YWiq8OQ1HzYItXc6q
 
5.2.8.3.XML注入测试
 
（借助XXE,攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等）
 日志注入（\r,\n换行，伪造日志）
 命令注入（操纵系统命令）
 Email Header Injection(邮件标头注入)
 /*（我们在暂时不涉及）
 Email Header Injection：如果表单用于发送email,表单中可能包括“subject”输入项（邮件标题），我们要验证subject中应能escape掉“\n”标识。
 
 
因为“\n”是新行，如果在subject中输入“hello\ncc:spamvictim@example.com”，可能会形成以下 
Subject: hello
 cc: spamvictim@example.com
 
 
如果允许用户使用这样的subject，那他可能会给利用这个缺陷通过我们的平台给其它用户发送垃圾邮件。 
*/
 
5.2.8.4.代码执行
 
代码执行是指应用程序对传入命令的参数过滤不严导致恶意用户能控制最终执行的命令，进而入侵系统，导致严重破坏的高危漏洞。
 https://help.aliyun.com/knowledge_detail/37446.html?spm=5176.7837442.2.2.nCzE5s
 
5.2.8.5.CRLF漏洞
 
CRLF，carriage-return-line-feed,回车换行漏洞。
 案例参考：https://www.leavesongs.com/PENETRATION/Sina-CRLF-Injection.html（对header进行注入）
 
5.2.9.上传下载
 
跨目录文件下载
 任意文件下载
 
任意文件上传（后缀）
 任意目录文件上传（目录）
 超大文件上传（大小）
 上传文件废弃后处理（堆积）
 上传文件名xss（重命名）
 上传文件名截断（0x00或者0x58,burp也可以修改二进制，url中%00）
 上传文件权限限制
 压缩炸弹
 Include包含上传（shtml）
 上传zip文件名中包含…/
 本地文件包含的概念：
 https://help.aliyun.com/knowledge_detail/37472.html?spm=5176.7837442.2.2.2NdNhY
 
5.2.10.CSRF
 
CSRF【cross site request forgery】跨站点请求伪造。
 原理：利用浏览器内存共享原理，利用用户身份伪造用户动作发送到服务端。（从恶意站点模拟用户发送正常的请求携带cookie，见7.1）
 
5.2.10.1.URL重定向（跳转）漏洞：
 
（参考http://drops.wooyun.org/papers/154）
 1、问题点
 在页面跳转的地方，URL中包含另外的网址，例如：
 第一类 简单URL过滤
 www.xxx.com?a=http://www.yyy.com
 第二类 底层操作类库支持其他协议导致读取本地或探测网络信息
 http://h2w.iask.cn/h5.php?u=file:///etc/passwd
 由于底层适用类curl库,而没有正确过滤URL导致，可以读取内网诸多信息.还有其他类似的形式：
 如file://, ftp://, telnet://等
 第三类 不支持其他协议但是没有设置网络边界（SSRF漏洞的姿势啊）
 http://wap.sogou.com/tc?url=http%3A%2F%2Fno.sohu.com%2F
 使用域之间的信任，突破到系统的内网
 
2、分析
 理论上讲，url跳转属于CSRF的一种，我们需要对传入的URL做有效性的认证，保证该URL来自于正确的地方，限制的方式同防止csrf一样可以包括：
 1）referer的限制
 2）加入有效性验证Token
 3、对跳转的地址没有做严格的校验
 
5.2.11.CORS漏洞
 
CORS【cross origin resouse-sharing】跨域资源共享。
 工具：shell of the future
 理解参考：http://www.2cto.com/Article/201209/154081.html
 
5.2.12.SSRF漏洞（服务端请求伪造）
 
行为特点：从其他服务器获取数据资源的功能，并且此功能获取资源的请求是从服务端发起的。
 可以实现的攻击：
 可以对服务器所在的内网、本地端口进行扫描、获取banner等
 攻击运行在内网或者本地的应用程序（比如溢出）
 对内网WEB应用进行指纹识别，访问默认文件的方式
 攻击内网WEB服务器，get请求方式
 利用file协议读取本地文件：例如http://192.168.1.119/pm/www/index.php?m=bug&f=view&bugID=4052
 
http://netsecurity.51cto.com/art/201312/424038.htm
 
5.2.13.Google黑客
 
1、搜索站点看是否能发现敏感的信息或不该公布的信息
 搜索命令，例如：
 site:yizhen.cn
 site:yizhen.cn yizhen.cn:password
 site:yizhen.cn inurl:session
 site:yizhen inanchor:修改密码
 cache：www.yizhen.cn
 
参考：http://www.cnblogs.com/xuanhun/p/3910134.html
 
5.2.14.其他
 
http开放方法测试
 不安全的方法：put、delete、trace、connect
 TRACE: 这个方法简单返回客户端发送给服务器的所有信息，主要用于调试目的。这个方法最初被认为没有危害，被Jermiah Grossman发现能被用于实施XST
 CONNECT: 这个方法允许客户端使用web服务器作为代理。
 DELETE: 这个方法允许客户端删除web服务器上的一个文件。攻击者能利用他简单直接破坏网站或者实施拒绝服务攻击。
 这个方法允许客户端向web服务器上传新的文件。攻击者可以利用他来上传恶意文件（比如一个asp文件通过调用cmd.exe来执行命令），或者简单使用受害者服务器作为文件仓库。
 banner信息检查
 HTTP方法篡改(已验证，没有此问题；问题案例https://www.sobug.com/article/detail/25)
 JavaScript DDOS（切换https后问题解决）
 缓冲器溢出漏洞，java的不涉及
 管理接口暴力枚举（DirBuster）
 测试HEAD访问控制绕过
 跨域策略测试
 数值溢出
 不管整数，浮点数，长整数等都是有一个可以表示的最大值，如果一个该类型变量被赋予超过其最大值的时候就会出现溢出，而找出该变量的值异常。
 
5.2.15.重放攻击
 
重放多次请求消耗系统资源的请求，造成dos。筛选出较为消耗资源的请求，检查系统是否有防重放策略或者机制。
 5.2.16.容器的安全
 5.2.16.1.Apache tomcat
 1）官网公布的安全漏洞补丁升级
 http://tomcat.apache.org/security-7.html#Apache_Tomcat_7.x_vulnerabilities
 2）运行账户
 建立独立用户，用户名和组名均为tomcat，不设置密码（即禁止SSH登录），tomcat进程以此帐号身份运行，严禁以root权限运行tomcat，禁止以个人帐号或其他有shell权限的帐号运行tomcat。
 3）删除Tomcat自带项目
 4）检查tomcat已知的带有风险的配置
 a)禁用应用程序自动部署功能（待考虑）
 b)禁用webdav
 c)定制Tomcat出错信息
 d)关闭Tomcat的目录列表功能
 e)限制http请求的消息主体的大小
 f)禁止配置Tomcat的网络连接超时时间为0或-1
 g)可执行文件只能由Tomcat属主用户修改
 h)配置文件只能由Tomcat属主用户修改
 i)日志文件只能由Tomcat属主用户修改和执行
 j)配置虚拟目录，用以隐藏后台路径
 k)禁用SSI和CGI功能
 l)不允许使用SetUID程序，尤其是root身份的SetUID程序
 m)开启Tomcat的日志功能：正常的访问日志和错误请求日志。日志文件的记录中包含访问时间、内容、结果及请求用户的ip等关键信息
 
影响较大的漏洞：
 CVE-2016-1240 tomcat地权用户提权漏洞。（2016-10）
 
5.2.17.其他组件安全
 
5.2.17.1.Nginx
 
官网安全漏洞先关链接：http://nginx.org/en/security_advisories.html
 
影响较大的漏洞：
 CVE-2016-1247 提权漏洞，借助nginx日志，提取到root。（2016-10）
 
5.2.17.2.Jquery
 
http://192.168.1.120:8080/amol-hospital/js/jquery-1.9.1.min.js
 http://192.168.1.120:8080/amol-hospital/js/ueditor/third-party/jquery-1.10.2.min.js
 
在官网上没有找到相应的安全漏洞列表
 https://blog.jquery.com/2013/02/04/jquery-1-9-1-released/
 
Jquery两个版本间更新日志，其中有两处vulnerable字样
 https://github.com/jquery/jquery/compare/1.9.1…1.12.3
 
5.2.17.3.Java漏洞
 
（放到操作系统部分，nessus可以很好的检查这个）
 
5.2.17.4.百度Ueditor（1.4.3）
 
5.2.17.5.Node.js(超声视频使用)
 
node -v
 v0.10.42
 
5.2.17.6.Spring
 
5.2.17.7.Mybitas
 
5.2.17.8.Druid
 
数据库连接池组件，包括四部分：DruidDriver、DruidDataSource、SQLParsr、扩展组件。
 可以监控数据库访问性能，Druid内置提供了一个功能强大的StatFilter插件，能够详细统计SQL的执行性能，这对于线上分析数据库访问性能有帮助。替换DBCP和C3P0。Druid提供了一个高效、功能强大、可扩展性好的数据库连接池。SQL执行日志，Druid提供了不同的LogFilter，能够支持Common-Logging、Log4j和JdkLog，你可以按需要选择相应的LogFilter，监控你应用的数据库访问情况。扩展JDBC，如果你要对JDBC层有编程的需求，可以通过Druid提供的Filter机制，很方便编写JDBC层的扩展插件。
 1、访问没有权限控制
 
5.2.17.9.Turnserver
 
TurnServer 是一个TURN协议的开源实现。
 该协议允许一个客户端以relay方式获得IP地址和端口。这对于symmetric 类型的NAT或者防火墙两边设备的通信非常有用。
 TurnServer项目旨在兼容地处理 TURN 和 STUN请求 (RFC 5766 , RFC 5389)，同时也支持 RFC6156 即 TURN-IPV6 (relay between IPv4-IPv6, IPv6-IPv4 and IPv6-IPv6 addresses) 和 RFC6062 即TURN-TCP (relay data with TCP)
 
5.2.17.10.Terracotta(session共享)
 
5.2.17.11.phpMyAdmin
 
http://www.phpmyadmin.net/security/
 
5.2.17.12.Redis
 
1、指定redis服务使用的网卡 （需要重启redis才能生效）
 在 redis.conf 文件中找到 “# bind 127.0.0.1” ，把前面的#号去掉，然后保存。注：修改后只有本机才能访问Redis。
 2、设置访问密码 （需要重启redis才能生效）
 在 redis.conf 中找到“requirepass”字段，在后面填上你需要的密码，Redis客户端也需要使用此密码来访问Redis服务。
 3、修改Redis服务运行账号 （需要重启redis才能生效）
 请以较低权限账号运行Redis服务，且禁用该账号的登录权限。另外可以限制攻击者往敏感写入文件，但是Redis数据还是能被黑客访问到，或者被黑客恶意删除。
 4、设置防火墙策略
 
如果正常业务中Redis服务需要被其他服务器来访问，可以设置iptables策略仅允许指定的IP来访问Redis服务。
 参考：
 https://help.aliyun.com/knowledge_detail/37447.html?spm=5176.7837442.2.10.nCzE5s
 
5.2.17.13.Fastjson开源jar
 
https://github.com/alibaba/fastjson/wiki/security_update_20170315
 fastjson最新远程代码执行高危安全漏洞，当前涉及1.2.24之前版本
 我们用的1.1.41
 
5.2.18.Web木马
 
常见的简单形式–诱导优化打开具有网页木马的页面，一般是写入js引用大马的代码网页，用户打开诱导网页后在电脑上实际上已经默认运行了下载大马和执行大马的操作
 
5.3.敏感数据保护
 
5.3.1.加密算法
 
算法列表能用，不能用
 弱算法：md2，md4，md5（2004年的国际密码学会议（Crypto’2004）王小云证明了MD5可以被碰撞，至此，MD5不再安全） ，sha1，blowfish
 推荐算法：sha256，aes128
 可逆的加密算法：des 3des aes128
 可逆加密算法又分为两大类：“对称式”和“非对称式”。
 对称式加密特点：加密和解密使用同一个密钥，通常称之为“Session Key ”。
 DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES
 非对称式加密特点：加密和解密所使用的不是同一个密钥，而是两个密钥：一个称为“公钥”，另一个称为“私钥”；它们两个必须配对使用，否则不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则只能由持有人本人知道。
 常见的非对称加密算法：RSA、ECC（移动设备用）、Diffie-Hellman、El Gamal、DSA（数字签名用）
 不可逆加密算法：sha256 sha512 md5
 不可逆加密算法的特征是，加密过程中不需要使用密钥，输入明文后由系统直接经过加密算法处理成密文。这种加密后的数据是无法被解密的，只有重新输入明文。
 常见的Hash算法：MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1
 参考：
 http://www.360doc.com/content/13/0402/15/3862791_275529254.shtml
 http://book.51cto.com/art/201109/294599.htm
 MD5输出128bit
 SHA1输出160bit
 SHA256输出256bit
 另外还有SHA244,SHA512
 分别输出244bit，512bit
 
问题分析
 数据库中的密码的机密算法推荐：
 1、使用不可逆加密算法
 2、使用加盐（避免预先计算彩虹表）
 
建议的用户密码加密形式：
 http：若通道未加密，密码在客户端使用可逆加密算法AES-256并加盐（从服务端获取挑战码即盐值），传输到服务端再解密。
 https：服务端接受到明文密码后使用不可逆加密算法对密码进行哈希加密SHA256并加盐（使用安全随机盐值，长度建议跟密码最长一致），再存入密码密文和盐值到数据库。
 
5.3.2.证书
 
我们一般说的证书都是服务端证书，即浏览器使用的验证服务器身份的证书。
 我们的证书是自生成的证书。
 证书：证明身份的凭据，证书中心用自己的私钥对信息发送者的公钥和一些信息一起的加密，证书可以保证公钥的安全性和有效新，公钥可以验证私钥持有方的身份。常规信息有：颁发给的通用名、组织、组织单元、序列号和颁发者的通用名、组织、组织单元，有效时间开始于、过期时间，指纹SHA-256指纹和SHA1指纹。详细信息还有证书的签名算法、公钥算法、公钥等。
 
签名哈希算法：证书编码完整性保证的哈希算法
 签名算法：私钥对证书编码的哈希加密的算法；证书签名使用的算法是发布者自己规定的
 上面两个是发布机构搞得，用来CA验证的
 
指纹算法：计算出指纹的哈希的算法，就是哈希算法，一般就是sha1
 指纹：证书的哈希值并用私钥加密。
 
鉴别用户的真伪可以通过鉴别用户的私钥的真伪来确认，就是看加密的信息服务端是否可以解密。
 公钥：连接建立时浏览器端加密时使用的秘钥。
 私钥：连接建立时服务器端加密时使用的秘钥。
 使用时：
 步骤一：
 1、浏览器输入网址访问yizhen.cn（应用层的）
 2、浏览器底层的TSL协议发送明文的Hello信息给服务器（网络层）
 3、服务器响应一个Hello信息给浏览器
 步骤二：
 服务器端发送它的证书给浏览器（图中的三，图中的二是之前就生成好的，存储在服务端的公钥、私钥、证书）
 步骤三：
 1、客户端验证服务端发来的证书
 2、验证证书的签名、完整性等信息
 3、去浏览器证书管理中心验证证书是否可信，是否为可信机构的证书或者子证书
 4、如果不可信，浏览器抛出警告，提示用户，需要用户确认选择是否继续
 步骤四：
 1、浏览器产生一个随机的值，作为秘钥，对称加密的秘钥，此处就称为秘钥。
 2、使用证书中的公钥对产生的秘钥进行加密生成密文串
 步骤五：
 1、发送密文串给服务器
 2、服务器接受到密文串，使用证书的私钥进行解密，获得对称加密的秘钥。
 3、服务器使用对称秘钥加密响应报文内容发送给浏览器。
 步骤六：
 服务器和浏览器可以通讯了。
 浏览器发送的数据都是公钥加密，使用对称秘钥解密收到的数据。
 服务器发送的数据都是对称秘钥加密的，收到的数据使用私钥解密。
 简单示意图如下：
 
证书介绍和攻击
 Pem格式的证书详细信息查看：
 https://www.trustasia.com/tools/cert-decoder.htm
 SSL证书被攻击、假冒的风险分析
 http://wenku.baidu.com/link?url=LkghTfA11JWJBLFJrgBZfCrIBFJoqfcH1q4xBEbzt3xmGtkR7mdkV91mUnRobYQKYz2ekVTo7XNQdOMHIuOpWZv4TBDBVsBo52dYNeX1zRi
 一个合法有效的SSL证书误签发给了假冒者（–）
 破解SSL证书签发CA的私钥（关注签名算法）
 SSL证书签发CA的私钥泄露（如果是自签名证书需要关注）
 破解SSL证书的私钥（关注指纹算法）
 SSL证书的私钥泄露（服务器端私钥的存贮）
 认证机构主动为假冒网站签发合法有效的证书（–）
 利用可信的SSL服务器证书进行中间人攻击（–）
 在用户主机中植入伪造的根CA证书（或一个完整的CA证书链）（–）
 旁路证书的可信性的验证（–浏览器操作系统漏洞）
 
—如果证书的跟证书没有，第一次访问会去证书网站获取根证书或者中间证书
 
5.3.2.1.证书加密算法的检查
 
1、证书的指纹算法是否安全，不安全的算法造成证书加密传输的信息可以被解密
 2、证书的签名算法是否安全，不安全的签名算法可能造成证书被伪造
 5.3.2.2.证书对应的秘钥保存检查
 1、证书私钥在服务器端存储是否加密
 2、证书私钥在服务器端的存储文件权限是否只有所有者可以访问
 ----浏览器端客户的CA根证书是否安全可信，这个无法保证（不涉及）
 
5.3.3.明文密码
 
客户端
 1、浏览器Cookie中存储，浏览器Cookie中记录密文密码
 2、浏览器记录密码保存明文密码
 服务端明文密码检查
 1、 配置文件明文密码
 2、日志中记录明文密码
 3、程序中硬编码密码、密钥
 （针对秘钥场景的理解，主要针对当前的弱算法秘钥爆破的场景，原理是通过对多次的加密后的密文对比差异尝试推倒秘钥，有些场景可以认为是分问题的，如数据库密码以DES加密密文存储在配置文件中，密钥在代码中硬编码，这种场景的密钥硬编码就是没有问题的，他的密钥在配置文件和代码中其实没有多大区别。）
 
5.3.4.源代码敏感信息检查
 
使用search and replace搜索代码中的关键字、敏感字，查看是否有不当使用的地方
 1、passwd、password、pword等
 2、使用过的密码111111,123456，admin，amol等
 
5.4.协议与接口攻防
 
5.4.1.端口扫描
 
1、远端扫描工具Nmap
 端口扫描命令
 TCP，Nmap -sS -T4 -p 1-65535 -oX filename.xml IP
 UDP，Nmap -sU -T4 -p 1-65535 -oX filename.xml IP
 2、系统检测
 检查服务器的操作系统类型及版本
 Nmap –O IP
 3、近端端口信息检查
 登录服务器，查看端口详细信息
 lsof –i:port
 ps –ef|grep pid
 4、整理系统开放端口的详细列表
 
5.4.2.端口服务探测
 
1、使用命令nmap -sV -Pn -p port IP，探测端口的详细服务及版本
 -Pn：在扫描之前，不发送ICMP echo请求测试目标是否活跃。
 -sV：探索开放的端口，确定服务器/版本信息
 
5.4.3.REST WEB Service（接口协议）
 
5.4.4.SOAP
 
Soap注入
 
5.4.5.SSH协议
 
放到操作系统部分，这个组件和操作系统强相关
 
5.4.6.IM服务-XMPP协议
 
http://wiki.xmpp.org/web/Securing_XMPP
 IM服务检查：https://xmpp.net
 Tigase用户指南：http://docs.tigase.org/tigase-server/snapshot/Administration_Guide/html_chunk/index.html
 Tigase XMPP (Jabber) server ver 7.0.2
 
IM服务器如何测试？？？
 http://my.oschina.net/greki/blog/210393
 Tigase-server
 Tigase-client
 http://localhost:8080/setup/进入tigase后台
 
5.4.7.外部接口安全
 
获取token：http://192.168.1.120:8080/amol-back/oauth/token?client_id=amol_client_mbox&client_secret=amol_secret_mbox&grant_type=password&username=mbox&password=123456
 
1、链路加密
 2、参数校验 -
 3、访问数限制-
 参数：
 使用burp遍历用例payload
 1)特殊字符
 英文字符
 ~!@#$%^&()____+{}|:”<>?-=;’,./`
 中文字符
 ~！@#￥%……&（）——+：“《》？，。、‘；、】【·
 中文汉字
 哈哈
 2）sql注入
 3）XSS
 4）纯数字、纯英文、组合、大小写、
 5）换行
 6）超长
 7）空
 
5.4.8.SSL/TSL
 
https等其他协议使用的加密协议SSL/TSL是否是安全的，使用开源工具sslsplit检测，工具下载地址https://github.com/droe/sslsplit/tree/7677fe06557509e95e548318909c1a328b6f6069。
 检查加协议版本及套件的办法Nmap -sV -p port --script ssl-enum-ciphers ip
 
1、加密协议SSLv2v3需要全部禁用
 2、TSL的加密密套件部分已经不安全需要配置删除
 
5.4.9.WiFi安全
 
对象（Wep、Wpa）、原理、工具
 
5.5.操作系统安全
 
http://www.centoscn.com/CentosSecurity/
 
工具：openvas、nessus
 
测试方式：可在本地安装nessus home版完来测试
 
影响较大的漏洞
 CVE-2016-5195：Linux系统本地提权漏洞，脏牛漏洞。（2016-10）【通吃型】。
 
5.5.1.本地提权
 
1）Windows下提权（我们是linux服务器，这个暂时不关注）
 2）Linux下提权----
 利用系统漏洞提权（主动提权）
 配置不当提权（被动提权）
 Sudo提权—/etc/sudoers文件配置
 Crontab提权–定时执行的脚本的权限配置
 Init.d提权–/etc/init.d此目录下的文件的写权限要严格禁止
 Environment提权–用户的profile、environment等的权限设置、还有su命令而不是su - 方式切换到root用户
 Setuid提权–通过给脚本或者bash添加s权限获取root权限
 
5.5.2.各种木马
 
键盘记录木马
 绑定端口木马
 回连木马
 端口复用木马
 远程控制木马
 
5.5.3.密码破解
 
本地破解–md5、linux shadow、ntlm/lm
 远程破解–ssh、httpauth、webform、pop/Smtp
 
5.6.数据库安全
 
Mysql
 http://www.w3resource.com/mysql/mysql-security.php
 Redis
 
影响较大的漏洞：
 CVE-2016-6662 mysql本地提权漏洞。（2016-9）
 5.7.软件的发布与安装安全
 1、下载的软件有没有提供签名
 2、下载后安装是否有校验机制
 
5.8.手机端的安全
 
1、app的签名、反逆向
 （apk加固步骤：http://jingyan.baidu.com/article/b2c186c8cd1a71c46ef6ffcd.html，数字签名：http://blog.csdn.net/kickxxx/article/details/18252881）
 2、用户隐私
 本地保存用户密码、无论加密与否
 敏感信息隐私信息，如聊天记录、关系链、银行卡号等是否加密保存
 配置文件等是否保存到外部设备上
 保存到外部设备的信息加载前判断是否被篡改
 3、文件权限
 App所在目录不允许其他组成员读写
 4、网络通讯
 重要敏感数据传输加密
 5、运行时解释保护
 嵌有解释器的软件XSS、SQL注入等
 外部连接的是否有URL欺骗等漏洞
 6、组件权限保护
 禁止App内部组件被任意第三方程序调用
 调用外部组件先验证签名
 7、升级
 升级包完整性、合法性校验，避免被劫持
 8、3rd库
 跟进第三方库的更新
 http://blog.nsfocus.net/mobile-app-security-security-test/
 http://www.zhihu.com/question/24083362
 
5.9.静态代码分析（纯白盒）
 
1、危险函数、方法、关键字
 2、工具检测 findbugs
 3、逻辑漏洞
 5.10.抓包走读代码（灰盒测试）
 1、前台功能执行、中间工具抓包、后端代码走读的形式（过程：结合业务思路查看中间参数、走读后端代码跟踪参数处理，结合常见WEB安全漏洞形式匹配问题，抓包重放验证问题。）
 2、可发现的常见漏洞形式：越权、XSS、sql注入、参数合理性等
 
6.安全测试的原则
 
攻击面最小化
 默认安全
 最小权限原则
 深度防御原则（多角度、冗余的）
 安全的失败
 外部系统是不安全的
 职责分离（权值分离）
 不依赖隐晦的安全性
 简单
 正确的修复安全性问题
 客户端的输入是不可信的
 
我的理解的判断依据：
 1、我们设计的程序的动作是确定的，而程序运行中产生了超出这个预期动作的部分，我们都可认为它是不安全的，需要改正的。
 2、问题产生在我们的设计得程序动作本身就是不符合现有的大环境下的安全标准。
 
7.参考资料
 
http://www.owasp.org.cn/ OWASP 测试指南
 http://www.wooyun.org/
 http://bbs.51cto.com/thread-1039046-1.html
 
8.系统结构简图
 
9.涉及的常用工具
 
1、Burpsuit
 2、Watchweb
 3、Httprint
 4、Httpwatch
 5、Appscan
 6、Awvs
 7、Nmap
 8、Search and replace
 9、Sqlmap
 10、secureCAT
 11、–验证码识别工具
 12、–Whois查询
 13、DirBuster
 14、Fiddler
 15、Wireshark
 16、Firefox hackbar
 17、在线js执行（http://js.do/）
 
9.1.文件名上传XSS
 
1、此种问题的特点：首先，是上传点；第二，在上传后使用了上传的文件名（可能又改名，但是记录了文件名）；
 2、系统问题发生点医生系统-终审报告-附件
 
3、此处符合了1，查看显示文件名的界面的代码
 aaa.gif
 以上语句2处出现了文件名，即有两个地方是我们可能注入代码的地方
 先看后一个位置，超链接内的文字，普通文本
 考虑尝试最简单的a.gif
 
发现字符/后的部分被作为了文件名，考虑后台代码有字符截断或者限制长度。并且确认我们的字符<>是接受的。
 下一步设置文件名为aaaaaaaaaaa.gif，发送多次尝试确认文件名可以的最长长度为24个字符，也就是后缀前面的代码只能有20个字符。
 再尝试b.gif，确认/
 
失败，什么原因？再尝试a/b.gif
 
确认/是有特殊处理的，会被截断，那么其他编码试试？
 前的所有代码，其实这里可以说已经是有问题了，改变了原来界面的语义 
这个位置的文件名貌似行不通啊，我们再来看原始的代码，再看看第一处
 aaa.gif
 两种思路：A）闭合a，在后面形成代码；B）在标签内形成属性事件
 先看B思路，οnclick=“downloadFile(‘hospital/0100101/2016/06/03/DR/369/20160603140244.gif’,‘aaa.gif’)”，着力点在这里，要闭合’)”，再给一个事件属性如οnmοuseοver=””
 试试文件名’)”οnmοuseοver=”alert(1)”，尝试后发现”和’，都是问题啊会被处理，这个没办法规避啊
 再看看A思路同样避不开’”啊
 在回头看看，谁说执行脚本不需要标签啊
 aaa.gif
 文件名不包含’”/ \，可以考虑的还是标签的属性，于是看二位置换成a.gif如何
 
再看界面
 
OK，XSS成功，所有查看这份报告的，点击了这个附件的都会执行这个事件。
 当然也可以换成其他属性触发事件啦，有兴趣可以试试。
 请不要忽略这个断字符的仅能alert(1)的问题，这个问题也可能和其他漏洞结合发挥大的威力哦（比如值同域然后钓鱼）
 
9.2.XXE漏洞详解
 
什么是XXE ? 就是我们所说的所谓xml实体注入。entity翻译为"实体"。它的作用类似word中的"宏"，也可以理解为DW中的模板，你可以预先定义一个entity，然后在一个文档中多次调用，或者在多个文档中调用同一个entity(XML定义了两种类型的entity。一种是我们这里说的普通entity，在XML文档中使用；另一种是参数entity，在DTD文件中使用。)。
 
参考：
 http://blog.csdn.net/dongfengkuayue/article/details/50240157
 http://drops.wooyun.org/papers/1911
 
9.2.1.XXE任意文件读取
 
构造如下xml文件
 <?xml version="1.0" encoding="UTF-8"?> 
]>
 &file; &file; 1、使用最原始的javax.xml.parsers，标准的jdk api 
在解析结果总解析出了hosts文件的内容。
 2、使用dom4j后程序变得更简单
 
3、使用JDOM
 
9.2.2.XXE拒绝服务攻击
 
1、sax解析类已经做了处理
 
2、循环调用
 
10.名词解释
 
WAF
 Web应用防护系统（也称：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
 单点登陆
 单点登录（Single Sign On），简称SSO，是目前比较流行的企业业务整合解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有有相互信任的应用系统。
 PR7
 PR值全称为PageRank(网页级别)，取自Google的创始人LarryPage。它是Google排名运算法则（排名公式）的一部分，是Google用于用来标识网页的等级/重要性的一种方法，是Google用来衡量一个网站的好坏的唯一标准。在揉合了诸如Title标识和Keywords标识等所有其它因素之后，Google通过PageRank来调整结果，使那些更具“等级/重要性”的网页在搜索结果中令网站排名获得提升，从而提高搜索结果的相关性和质量。级别从1到10级，10级为满分。PR值越高说明该网页越受欢迎（越重要）
 OAuth授权
 OAuth(开放授权)是一个开放标准。
 允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息。
 而这种授权无需将用户提供用户名和密码提供给该第三方网站。
 OAuth允许用户提供一个令牌给第三方网站，一个令牌对应一个特定的第三方网站，同时该令牌只能在特定的时间内访问特定的资源.
 详细参考：http://justcoding.iteye.com/blog/1950270
 
REST WebService
 REST（Representational State Transfer）是一种轻量级的Web Service架构风格，其实现和操作明显比SOAP和XML-RPC更为简洁，可以完全通过HTTP协议实现，还可以利用缓存Cache来提高响应速度，性能、效率和易用性上都优于SOAP协议。
 隐写术
 隐写术是关于信息隐藏，即不让计划的接收者之外的任何人知道信息的传递事件（而不只是信息的内容）的一门技巧与科学。隐写术英文作“Steganography”，来源于约翰尼斯·特里特米乌斯的一本看上去是有关黑魔法，实际上是讲密码学与隐写术的一本书Steganographia中。此书书名来源于希腊语，意为“隐秘书写”。
 CTF
 CTF（Capture the Flag）夺旗比赛。
 MIME编码
 MIME（Multipurpose Internet Mail Extensions）多部分(multi-part)、多媒体电子邮件和WWW超文本的一种编码标准，用于传送诸如图形、声音和传真等非文本数据。
 PKCS
 The Public-Key Cryptography Standards (PKCS)是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准，其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。
 PKCS#1：定义RSA公开密钥算法加密和签名机制，主要用于组织PKCS#7中所描述的数字签名和数字信封。
 WASC
 Web Application Security Consortium（WASC），是一个由安全专家、行业顾问和诸多组织的代表组成的国际团体。WASC 组织的关键项目之一是“Web 安全威胁分类”，也就是将 Web 应用所受到的威胁、攻击进行说明并归纳成具有共同特征的分类。该项目的目的是针对 Web 应用的安全隐患，制定和推广行业标准术语。
 OWASP
 Open Web Application Security Project（OWASP），该组织致力于发现和解决不安全 Web 应用的根本原因。它们最重要的项目之一是“Web 应用的十大安全隐患”，总结了目前 Web 应用最常受到的十种攻击手段，并且按照攻击发生的概率进行了排序。这个项目的目的是统一业界最关键的 Web 应用安全隐患，并且加强企业对 Web 应用安全的意识。
 CORS
 CORS(Cross Origin Resourse-Sharing)，跨域资源共享。
 Node.js
 Node.js是一个Javascript运行环境(runtime)。 实际上它是对Google V8引擎进行了封装。V8引 擎执行Javascript的速度非常快，性能非常好。Node.js对一些特殊用例进行了优化，提供了替代的API，使得V8在非浏览器环境下运行得更 好。
 [1] Node.js是一个基于Chrome JavaScript运行时建立的平台， 用于方便地搭建响应速度快、易于扩展的网络应用。Node.js 使用事件驱动， 非阻塞I/O 模型而得以轻量和高效，非常适合在分布式设备上运行的数据密集型的实时应用。
 SSRF
 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）
 渗透攻击、攻击载荷payload、shellcode
 CWE
 CWE(Common Weakness Enumeration),通用弱点枚举。软件弱点分类，更好地识别缺陷、修复阻止缺陷实现自动化。
 CDN
 CDN(ConTent Deliver network)内容分发网络。以负载均衡为核心。
 Maven
 Maven项目对象模型（POM），可以通过一小段描述信息来管理项目的构建，报告和文档的软件项目管理工具。
 WebRTC
 WebRTC（Web Real-Time Commutication）Web实时通讯的缩写，就是使用Web浏览器完成实时的语音对话和视屏对话的技术。
 APT
 APT（Advance Persistent Thread）高级可持续性攻击。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并 具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为， 就是一种“网络间谍”的行为。
 CVSS
 Common Vulnerability Scoring System，即“通用漏洞评分系统”，是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”。
 CVSS是安全内容自动化协议（SCAP）[2]的一部分，通常CVSS同CVE一同由美国国家漏洞库（NVD）发布，由美国国家基础建设咨询委员会（NIAC）委托制作，是一套公开的评测标准，经常被用来评比企业资讯科技系统的安全性，并受到eBay、(Symantec)、思科(Cisco)、甲古文(Oracle)等众多厂商支援。
 CVSS的目标是为所有软件安全漏洞提供一个严重程度的评级
 这就意味着CVSS旨在为一个已知的安全漏洞的严重程度提供一个数值(分数)，而不管这个安全漏洞影响的软件类型是什么，不管它是操作系统、杀毒软件、数据库、邮件服务器、桌面还是商务应用程序。由于这个评分范围非常广，这个评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数10.0分。换句话说，CVSS基准分数为10.0分的安全漏洞一般指能够完全攻破系统的安全漏洞，典型的结果是攻击者完全控制一个系统，包括操作系统层的管理或者“根”权限。例如，国家安全漏洞数据库中一个第三方产品中的这种安全漏洞被解释为，攻击者能够安装程序;观看、修改或者删除数据;或者创建拥有用户全部权利的新账户。
 它的主要目的是帮助人们建立衡量漏洞严重程度的标准，使得人们可以比较漏洞的严重程度，从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果，这些测量维度被称为量度（Metrics）。漏洞的最终得分最大为10，最小为0。得分710的漏洞通常被认为比较严重，得分在46.9之间的是中级漏洞，0~3.9的则是低级漏洞
 CVSS系统包括三种类型的分数
 　　- 基准分数，暂时的和环境的。每一个分数都要衡量这个安全漏洞的不同属性。甲骨文在严重补丁更新文件中提供这个“基准分数”。这个基准分数有如下特点：
 　- 这个基准分数具体指一个指定的安全漏洞。
 　　- 这个基准分数是不变的。
 　　- 它不是具体针对一个客户的技术IT环境的
 
11.那些网络大牛们的语句
 
以安全防御方的角度来看，防御的广度比深度更具优先级，这也是信息安全中木桶原理的体现。
 网络世界如此的年轻，还没有发展出自己独立的行为规范。
 我认为安全的核心理念只有两种：
 一是对无序的内外环境执行线性秩序化策略，构建强韧的防护体系，为系统提供“免疫”能力。
 二是对无序的内外环境执行非线性秩序化策略，构建反脆弱性防护体系，为系统提供“进化”能力。
 --------安在
 安全的三要素：机密性、完整性、可用性
 防御的一些思想：
 白名单思想、深度防御、数据与代码分离、不可预测性、缩小攻击面
 
12.其他
 
我的一些理解：
 1、安全中总谈到做安全需要首先确认信任域与信任边界，信任边界的概念主要是从这个网络物理结构体系的形式来体现的，比如一般在网闸或者防火墙之类的的设备处作为边界，内部形成一个个安全域。而我们的互联网系统是以云为依托，打破了原来的那种概念。物理层对我们来说是不透明的，以服务提供商的逻辑服务形式体现为8台服务器，2台数据库服务器，2台负载均衡服务器。并且这些服务器之间并没有配置相互的信任关系，这就形成了我们的安全实际形态为多处单点形式。
 仔细来看这12个单点，首先2台负载均衡，只提供负载均衡服务其他均不需要我们看护，其做了哪些措施除了分配连接外一概不知，所以可以从我们的安全形态圈摒弃掉。剩下的10台服务器，彼此独立，互相不应该信任，彼此交互均应该有有效认证行为。
 当然，其彼此的交互也被分为了两种，一是大网交互，二是内网交互。这里的大网内网我们就需要和阿里的网络相结合。内网交互就在阿里的相对安全的一个域，不防叫内域，相对的大网交互就在阿里的相对不安全的域和互联网上了，这是一个不可信的不安全的区域，不防叫外域。这种结构就应该和我们的业务相结合，比如我们的10台服务器要彼此访问，同时此访问服务不需要提供给互联网，我们就可以把业务单独配置到内域，如果业务是提供给互联网的，那么配置到外域或者内域和外域。
 
 
👇👇👇少侠，留个赞再走哦 ！

简介
CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，是一种对网站的恶意攻击。
尽管听起来像跨站脚本（XSS），但它与 XSS 非常不同。
XSS 利用的是站点内的信任用户，而 CSRF 则通过伪装成（假冒）站点内的信用用户，执行该用户不知情的操作。
与 XSS 攻击相比，CSRF 攻击往往不太流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比 XSS 更具危险性。
CSRF 攻击是在受害者毫不知情的情况下，以受害者名义伪造请求发送给受攻击站点，从而在受害者并未授权的情况下执行受害者权限下的各种操作。
CSRF 攻击的原理
CSRF 攻击的条件
正常网站 A，存在 CSRF 漏洞；恶意网站 B，含有攻击性代码，用来对网站 A 进行攻击。
正常网站 A，有两个用户：user01（受害者）和 user02（攻击者）。
user02（攻击者）清楚地了解网站 A，并创建了具有攻击性的网站 B。
user01（受害者）登录了网站 A 后，在自身的 session 未失效的情况下，访问了恶意网站 B。
CSRF 攻击的过程
用户 user01 通过浏览器访问正常网站 A，输入用户名和密码请求登录验证。
登录验证通过后，网站 A 保存 user01 的 session，并将对应的 cookie 返回给 user01 的浏览器。这样， user01 就可以在网站 A 执行自身权限下的各种请求（操作），比如取款、发表文章、发表评论等。
假如， user01 还未退出网站 A，在同一浏览器中，访问了恶意网站 B。
网站 B 是 user02 创建的，user02 清楚地知道网站 A 的工作模式。网站 B 通过攻击性代码访问网站 A（携带的是 user01 的 cookie），执行某些并非 user01 授意的操作。
网站 A 却并不知道这个恶意请求是从网站 B 发出的，因此，就会根据 user01 在网站 A 中具备的相关权限，执行权限下的各种操作。这样，就在 user01 不知情的情况下，user02 假冒 user01，执行了具备 user01 用户身份的操作。
CSRF 攻击实例
比如，现在有一个受害者 Bob ，在网站 http://bank.example/ 中有一笔存款。
Bob 通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 ，可以使 Bob 把 1000000 的存款转到 bob2 的账号下。
通常情况下，该请求发送到银行网站后，服务器会先验证该请求是否来自一个合法的 session，该 session 的用户 Bob 已经成功登陆。
黑客 Mallory 自己在该银行也有账户，他知道银行网站转账操作的 URL。
Mallory 可以自己发送一个请求给银行：http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory ， 但是这个请求来自 Mallory 而非 Bob，他不能通过安全认证，因此该请求不会起作用。
这时，Mallory 想到使用 CSRF 的攻击方式，他先自己做一个网站 B，在网站 B中放入如下代码： src=”http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory ”，并且通过广告等方式诱使 Bob 来访问他的网站。
当 Bob 访问网站 B 时，上述 url 就会从 Bob 的浏览器发向银行，并且这个请求会附带 Bob 浏览器中的 cookie 一起发向银行服务器。
当然，大多数情况下，该请求会失败，因为银行网站要求 Bob 的认证信息。
但是，如果 Bob 当时恰巧刚访问银行网站后不久，他的浏览器与银行网站之间的 session 尚未过期（比如 Bob 还未退出银行网站），而浏览器的 cookie 中含有 Bob 的认证信息，银行网站的对应 session 数据还存在。
这时，悲剧就发生了，这个 url 请求就会得到响应，钱将从 Bob 的账号转移到 Mallory 的账号，而 Bob 当时毫不知情。
等以后 Bob 发现账户钱少了，即使他去银行查询流水，他也只能发现确实有一个来自于他本人的合法请求转移了资金，没有任何被攻击的痕迹。
在这个示例中，银行网站却错误地认为，这个转账操作是 Bob 执行的。
CSRF 攻击的对象
在讨论如何抵御 CSRF 之前，先要明确 CSRF 攻击的对象，也就是我们要保护的对象。
从以上的例子可知，CSRF 攻击是黑客借助受害者的 cookie 骗取服务器的信任。黑客所能做的就是给服务器发送伪造请求，改变请求的参数。
所以，我们要保护的对象是那些可以直接产生数据改变的服务，而对于读取数据的服务，则不需要进行 CSRF 的保护。
比如银行系统中转账的请求会直接改变账户的金额，会遭到 CSRF 攻击，需要保护。而查询余额是对金额的读取操作，不会改变数据，CSRF 攻击无法解析服务器返回的结果，无需保护。
CSRF 漏洞检测
检测 CSRF 漏洞是一项比较繁琐的工作，最简单的方法就是抓取一个正常请求的数据包，去掉 Referer 字段后再重新提交，如果该提交还有效，那么基本上可以确定存在CSRF漏洞。
随着对 CSRF 漏洞研究的不断深入，涌现出了一些专门针对 CSRF 漏洞进行检测的工具，如 CSRFTester、CSRF Request Builder 等。
以 CSRFTester 工具为例，测试原理如下：
使用 CSRFTester 进行测试时，首先需要抓取我们在浏览器中访问过的所有链接以及所有的表单等信息，然后通过在 CSRFTester 中修改相应的表单等信息，重新提交，这相当于一次伪造客户端请求。
如果修改后的测试请求成功，则说明存在 CSRF 漏洞，当然此款工具也可以被用来进行 CSRF 攻击。
防御 CSRF 的几种策略
目前防御 CSRF 攻击主要有三种策略：
验证 HTTP Referer 字段
在请求地址中添加 token 并验证
在 HTTP 头中自定义属性并验证
验证 HTTP Referer 字段
根据 HTTP 协议，在 HTTP 头中有一个字段叫 Referer，它记录了该 HTTP 请求的来源地址。
比如，访问 http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory ，用户必须先登陆 bank.example，然后通过点击页面上的按钮来触发转账事件。
这时，该转帐请求的 Referer 的值就会是转账按钮所在的页面的 URL，通常是以 bank.example 域名开头的地址。
而如果黑客要对银行网站实施 CSRF 攻击，他只能在他自己的网站构造请求，当用户通过黑客的网站发送请求到银行网站时，该请求的 Referer 是指向黑客自己的网站。
因此，要防御 CSRF 攻击，银行网站只需要对转账请求验证其 Referer 值，如果是以 bank.example 开头的域名，则说明该请求是来自银行网站自己的请求，是合法的。如果 Referer 是其他网站的话，则有可能是黑客的 CSRF 攻击，拒绝该请求。
这种方法的好处就是简单易行，只需要在最后给所有敏感的请求统一增加一个拦截器来检查 Referer 的值就可以。特别是对于当前现有的系统，不需要改变当前系统的任何已有代码和逻辑，没有风险，非常便捷。
然而，这种方法并非万无一失。
缺陷
首先，Referer 的值是由浏览器提供的，但是每个浏览器对于 Referer 的具体实现可能有差别，并不能保证浏览器自身没有安全漏洞。
验证 Referer 的值，就是把安全性都依赖于浏览器来保障，这样并不安全。
对于某些浏览器，已经有一些方法可以篡改 Referer 的值。黑客完全可以把用户浏览器的 Referer 值设为以 bank.example 域名开头的地址，这样就可以通过验证，从而进行 CSRF 攻击。
其次，即便黑客无法篡改 Referer 值，这种方法仍然有问题。因为 Referer 值会记录下用户的访问来源，有些用户认为这样会侵犯隐私，便会设置浏览器使其在发送请求时不再提供 Referer。那么，服务器端的 Referer 验证也就没有意义了。
在请求地址中添加 token 并验证
CSRF 攻击之所以能够成功，是因为黑客可以完全伪造用户的请求，该请求中所有的用户验证信息都存在于 cookie 中，因此黑客可以在不知道这些验证信息的情况下直接利用用户的 cookie 来通过安全验证。
要抵御 CSRF，关键在于在请求中放入黑客所不能伪造的信息，并且该信息不存在于 cookie 中。
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token，并在服务器端建立一个拦截器来验证这个 token，如果请求中没有 token 或者 token 内容不正确，则认为可能是 CSRF 攻击而拒绝该请求。
这种方法要比检查 Referer 要安全一些，token 可以在用户登陆后产生并放于 session 之中，然后在每次请求时把 token 从 session 中拿出，与请求中的 token 进行比对。
对于 GET 请求，token 将附在请求地址之后，这样 URL 就变成 http://url?csrftoken=tokenvalue 。
而对于 POST 请求，要在 form 表单加上：
<input type=”hidden” name=”csrftoken” value=”tokenvalue”/>
该方法也有一个缺点是难以保证 token 本身的安全。
因为即使是 POST 请求的 token，黑客的网站也同样可以通过 Referer 的值来得到这个 token 值以发动 CSRF 攻击。这也是一些用户喜欢手动关闭浏览器 Referer 功能的原因。
如果想保证 token 本身的安全，可以考虑使用动态 token，也就是每次请求都使用不同的动态 token。
在 HTTP 头中自定义属性并验证
这种方法也是使用 token 进行验证，和上一种方法不同的是，这里并不是把 token 以参数的形式置于 HTTP 请求之中，而是把它放到 HTTP 头中自定义的属性里。
通过 XMLHttpRequest 对象，可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性，并把 token 值放入其中。
通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏，也不用担心 token 会透过 Referer 泄露到其他网站中去。
然而，这种方法的局限性非常大。XMLHttpRequest 请求通常用于 Ajax 对页面局部的异步刷新。
并非所有的请求都适合用 Ajax 来发起，而且通过该类请求得到的页面不能被浏览器所记录，影响前进、后退、刷新、收藏等操作，给用户带来了不便。
另外，对于没有进行 CSRF 防护的旧系统来说，如果采用这种方法来进行防护，需要把所有请求都改为 XMLHttpRequest 请求，这样几乎是要重写整个网站，工作量无疑是巨大的。

目录分类 
  
媒体社区类
安全公司类
应急响应类
安全团队类
高校社团类
CTF类
个人类
web安全类
网络运维类
安全研发类
二进制安全类
硬件安全类
其他
 
 
 
媒体社区类
 
媒体、资讯、社区
 
网络安全和信息化 :- 《网络安全和信息化》（原《网络运维与管理》）杂志官方所属，IT运维管理人员的专业管理类经验、知识、资料。提高IT基础设施运营水平，提高IT管理人员工作能力。
i春秋 :- 专业的网络安全、信息安全、白帽子技术的培训平台及学习社区，78万安全用户的精准推荐。
合天智汇 :- 为广大信息安全爱好者提供有价值的文章推送服务！
极客公园 :- 用极客视角，追踪你最不可错过的科技圈。
实验楼 :- 实验楼是100万+技术学习者关注的IT在线实训平台，提供海量免费教程、技术干货和在线实验环境。官网www.shiyanlou.com
GeekPwn :- GeekPwn，全球首个关注智能生活的安全极客大赛！我们在寻找可能默默无闻但出类拔萃—注定可以改变世界、可以和我们一起保护未来的正能量—顶级 Geek 的思路、敢于 Pwn 破禁锢的你，这里是你的舞台，一起来，做到“极棒”！
安在 :- 人物、热点、互动、传播，有内涵的信息安全新媒体。
青藤云安全资讯 :- 青藤云安全是最理解中国互联网企业的安全伙伴，这里我们一起关注互联网企业安全那些事。
FreeBuf :- 国内网络安全行业门户
黑白之道 :- 我们是网络世界的启明星，安全之路的垫脚石。
SecWiki :- 汇集国内外优秀安全资讯、工具和网站，只做高质量聚合与评论，每天一篇优秀资讯推荐。
V安全资讯 :- V安全资讯是隶属于丝路安全团队（SRsec）旗下的一个以分享网络安全技术文稿和网络前端安全资讯的自媒体平台，在这里你可以学习别人的技术和心得，你也可以在这里分享你的学习成果和心得体会！我们期待着您的分享！
安全牛 :- 发现、挖掘与推荐、传播优秀的安全技术、产品，提升安全领域在全行业的价值，了解机构与企业的安全需求，一家真正懂安全的专业咨询机构，我们是安全牛！
长亭安全课堂 :- 长亭科技专注于为企业提供网络安全解决方案。分享专业的网络安全知识，网络威胁情报。
E安全 :- E安全 | 全球网络安全资讯新传媒 新版门户站点：http://www.easyaq.com/
安全客 :- 打破黑箱 客说安全
网络空间安全军民融合创新中心 :- 作为军地沟通、军地协同的网络空间安全发展产业平台，聚焦网络空间国防安全领域，探索建立网络国防安全建设创新发展模式，致力于打造网络空间安全领域的民间智库。
网信军民融合 :- 《网信军民融合》杂志提供网络安全、信息化、军民融合资讯和咨询服务，为网信企业“民参军”、“军转民”搭建桥梁，致力于成为党政军企共推网信军民融合发展的高端平台。
中国信息安全 :- 《中国信息安全》杂志，介绍国内外最新网络安全动态，深度解读网络安全事件。
重生信息安全 :- 专注安全行业，分享最新安全技术及咨询.
MottoIN :- 互联网威胁情报社区
阿里云先知 :- 阿里云安全应急响应中心为云上客户提供最精准风险预警通告，基于云安全中心的威胁情报收集能力、分析能力、漏洞挖掘能力、应急响应处置能力为客户上云提供高效、精准，真实的漏洞威胁预警、重大安全事件预警。
行长叠报 :- 漏洞银行-行长叠报，最新的安全资讯/最全的黑客干货/最有料的业内伙伴，每时每刻连接热爱安全的你我。
网信防务 :- 运筹网络空间，汇聚大众力量
维他命安全 :- 信息安全那些事儿
安全圈 :- 专注网络安全：网罗圈内热点事件，细说安全风云变幻！
安全帮 :- 安全帮，是中国电信基于专业安全能力自主研发的云安全服务平台，包含“1+4”产品体系。“1”：SaaS云安全服务电商；“4”：SDS分布式调度管理系统、安全能力开放平台、安全大数据平台、安全态势感知平台。
互联网安全内参 :- 《安全内参》是专注于网络安全产业发展和行业应用的高端智库平台，致力于成为网络安全首席知识官。投稿&合作请邮件联系 anquanneican#163.com
CNCERT风险评估 :- CNCERT风险评估与软硬件安全相关动态信息分享
 
 
安全公司类
 
安全公司官方微信
 
四叶草安全 :- 发布四叶草安全最新动态，洞悉安全领域热点事件，剖析黑客前沿技术
绿盟科技 :- 绿盟科技 官方微信
默安科技 :- 引领下一代企业安全体系——开发安全（DevSecOps）与运营安全（AISecOps）双轮驱动。
知道创宇 :- 知道创宇公众微信，知道创宇是微软在亚太地区唯一的安全提供商，致力于互联网安全研究，为用户打造更好更安全的互联网
无声信息 :- 做最受信赖的安全服务提供商
阿里云安全 :- 最前沿的云安全趋势、观点、评论；帮助企业了解本行业的安全解决方案；还有最新的优惠信息、轻松有料的视频科普栏目。阿里云上的安全感，让你天天看得到。
bigsec岂安科技 :- 岂安科技( bigsec.com ) ，专注于互联网业务风险控制
补天平台 :- 补天漏洞响应平台旨在建立企业与白帽子之间的桥梁，帮助企业建立SRC（安全应急响应中心），让企业更安全，让白帽子获益。
雷神众测 :- 雷神SRC涵盖雷神众测、威胁库，专注于渗透测试技术及全球最新网络攻击技术的分析。
炼石网络CipherGateway :- 炼石是基于密码技术的新一代数据安全厂商，将加密与细粒度访问控制、审计追溯等安全技术结合，以适配的方式将数据安全嵌入到业务流程，免开发改造应用系统增强安全防护能力，让企业数字化业务更安全。
绿盟科技研究通讯 :- 绿盟科技研究通讯-绿盟研究成果发布地，创新、孵化、布道，只玩最酷的安全技术
永信至诚 :- 永信至诚秉承“人是安全的核心”的主导思想，基于核心团队深厚的攻防技术基因，打造了国内知名的网络安全教育平台；举办了一系列影响力重大的网络安全赛事和演练活动；研制了国内领先水平的城市级网络靶场、高处置态势感知和高甜度蜜罐类产品。
长亭科技 :- 长亭科技，专注为企业级用户提供专业的应用安全解决方案。更多信息请访问：https://www.chaitin.cn
安恒信息 :- 杭州安恒信息技术股份有限公司（DBAPPSecurity），科创板：688023，全球网络安全创新500强。以自主可控的专利技术，提供Web应用安全、数据库安全、网站安全监测产品与服务、态势感知大数据中心及智慧城市云安全运营整体解决方案。
安全优佳 :- 安全是一种感觉，安全是一种信任、安全是一种技术，无论安全是什么，她都可以为你带来价值。
东软网络安全 :- 东软网络安全
山石网科安全技术研究院 :- 山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月，是山石网科的信息安全智库部门，山石安研院旗下包括干将、莫邪两大安全实验室，以及安全预警分析、高端攻防培训两支独立的技术团队。
邑安全 :- 邑安全//江门邑安科技有限公司运营的订阅号。第一时间了解全球安全资讯、研讨最新信息安全技术和提供本地信息安全沙龙！
安全威胁情报 :- Threatbook微步在线，专业的安全威胁情报服务提供商。让您知己知彼掌控全局，面对安全威胁如同凌波微步般应对自如。
默社安全 :- 工具分享，技术研究，经验教学，这些这里都没有 有的是一个在安全之路上渐行渐远的呆帽子
SecIN技术平台 :- 专注于网络安全、信息安全的技术内容学习平台，白帽子及技术爱好者的聚集社区。
疯猫网络 :- 疯猫网络致力于网络安全和反病毒分析的前沿,同时是国内领先的IDC服务商。
开源聚合网络空间安全研究院 :- 山西开源聚合科技有限公司是山西省第一家研发生产销售MOOE信息安全实验室的高科技企业。公司专注于大型在线信息安全实验室的研发、销售和技术服务，为客户提供仿真在线实验软件和解决方案。公司自成立以来一直秉承“专注信息安全，立足教育”的核心理念。
锦行信息安全 :- 广州锦行网络科技有限公司（简称“锦行科技”）成立于2014年3月，由国内多名顶尖信息安全专家联合创办，拥有数十名一线安全人才，致力于研究国内外最新核心攻防对抗技术及案例，提供基于攻击者视角的新型安全解决方案，帮助政府、企业保障信息资产安全。
星阑科技 :- 北京星阑科技有限公司
中睿天下 :- 汇全球之智，明安全之道。
携程技术 :- 携程技术官方账号，分享交流成长。
 
 
应急响应类
 
应急响应中心、应急响应技术
 
OPPO安全应急响应中心 :- OPPO安全应急响应中心(OSRC)官方公众号。
小米安全中心 :- 小米安全中心（MiSRC）是致力于保障小米产品、业务线、用户信息等安全，促进与安全专家的合作与交流，而建立的漏洞收集及响应平台。
京东安全应急响应中心 :- 京东安全应急响应中心（JSRC）官方
百度安全应急响应中心 :- 百度安全应急响应中心，简称BSRC，是百度致力于维护互联网健康生态环境，保障百度产品和业务线的信息安全，促进安全专家的合作与交流，而建立的漏洞收集以及应急响应平台。欢迎访问 bsrc.baidu.com 提交百度安全漏洞。
美丽联合集团安全应急响应中心 :- 美联安全应急响应中心（MLSRC）官方微信
唯品会安全应急响应中心 :- 唯品会安全应急响应中心(VSRC)官方微信
滴滴安全应急响应中心 :- 滴滴安全应急响应中心官方微信公众号。欢迎访问 sec.didichuxing.com 提交滴滴出行安全漏洞
腾讯安全应急响应中心 :- 腾讯安全应急响应中心（TSRC）官方微信
阿里安全响应中心 :- 阿里巴巴安全应急响应中心官方微信公众号
网络安全应急技术国家工程实验室 :- 网络安全应急技术国家工程实验室是由国家互联网应急中心运营的国家级实验室。实验室致力于物联网安全领域的基础理论研究、关键技术研发与实验验证，并为国家关键基础设施的物联网建设和运行提供安全保障。
同程艺龙安全应急响应中心 :- LYSRC是目前唯一公开漏洞的SRC ，欢迎提交漏洞 https://sec.ly.com
陌陌安全 :- 陌陌安全致力于守护陌陌亿万用户信息安全，为陌陌产品安全保驾护航，为亿万用户提供安全的互联网生态环境。
本地生活安全响应中心 :- 阿里巴巴本地生活安全响应中心（ALSCSRC）
绿盟科技安全情报 :- 绿盟科技安全情报针对高危的网络安全事件进行快速响应，提供可落地的解决方案，协助用户提升应对未知威胁的能力。
CNVD漏洞平台 :- 国家信息安全漏洞共享平台（CNVD）是由CNCERT发起，集漏洞统一收集验证、预警发布及应急处置平台，目标是切实提升我国在安全漏洞方面的整体研究水平和及时预防能力，进而提高我国信息系统及国产软件的安全性，带动国内相关安全产品的发展。
斗象智能安全平台 :- 斗象科技以人工智能、大数据技术为核心，结合流量监听与主动探测技术，自主研发的新一代智能安全产品解决方案，为企业建立基于人工智能的威胁监测与数据分析体系。
喜马拉雅安全响应平台 :- 喜马拉雅安全响应中心
中通安全应急响应中心 :- 中通安全应急响应中心（ZSRC）官方服务号
VIPKID安全响应中心 :- VIPKID安全响应中心官方账号
关键基础设施安全应急响应中心 :- 国家互联网应急中心下属机构，专门致力于国家关键信息基础设施的网络安全应急保障工作，开展相关领域的关键技术研究、安全事件通报与应急响应。
奇安信安全监测与响应中心 :- 为企业级用户提供高危漏洞、重大安全事件安全风险通告和相关产品解决方案。
美团安全应急响应中心 :- 美团安全应急响应中心官方公众号
 
 
安全团队类
 
公司安全研究团队、实验室
 
腾讯安全威胁情报中心 :- 御见威胁情报中心，是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。
Seebug漏洞平台 :- Seebug，原 Sebug 漏洞平台，洞悉漏洞，让你掌握第一手漏洞情报！
山丘安全攻防实验室 :- 三思网安攻防实验室官方公众号！
腾讯安全联合实验室 :- 为了体系性解决移动互联时代的连接安全，腾讯安全联合各方实力，建立七大实验室，针对性解决各领域安全问题，彼此协作、联合对外解决系统性安全问题。
SecPulse安全脉搏 :- 安全脉搏，有温度的安全自媒体；关注最新安全事件，分享独家技术文章；安全资讯、安全报告实时共享；官网www.secpulse.com。
信安之路 :- 专注信息安全技术和经验的分享，坚持原创，不蹭热点
ChaMd5安全团队 :- 一群不正经的老司机组成的史上最牛逼的安全团队。小二，来杯优乐美。
Tide安全团队 :- Tide安全团队以信安技术研究为目标，致力于分享高质量原创文章、开源安全工具、交流安全技术，研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域，对安全感兴趣的小伙伴可以关注我们。
腾讯玄武实验室 :- 腾讯玄武实验室官方微信公众号
三六零CERT :- 360CERT是360成立的针对重要网络安全事件进行快速预警、应急响应的安全协调中心
奇安信威胁情报中心 :- 威胁情报信息共享，事件预警通报，攻击事件分析报告，恶意软件分析报告
火绒安全实验室 :- 火绒是一家纯粹的信息安全公司。在这里为大家分享专业的技术报告和安全信息。
水滴安全实验室 :- 水滴安全实验室－互联网安全资讯订阅号
飓风网络安全 :- 专注网络安全，成立于2016年;专注于研究安全服务，黑客技术、0day漏洞、提供服务器网站安全解决方案，数据库安全、服务器安全运维。
猎户攻防实验室 :- 江南天安猎户攻防实验室，专注于信息安全攻防研究。分享有关渗透测试、代码审计、漏洞分析与挖掘、攻击溯源、逆向工程、数据挖掘、关联分析等领域的所见所得。 其他奇淫技巧及神兵利器，请关注我们的技术博客 liehu.tass.com.cn
红日安全 :- 安全技术的交流与传播
Secquan圈子社区 :- secquan.org汇聚新锐 共同进步
网络尖刀 :- 国内民间互联网组织网络尖刀团队（1AQ.COM）官方公众号，由阿喵与曲子龙二人共同运营，不定期分享对互联网安全、技术、科技、创业等相关的一些观点。
安比实验室 :- 硬核区块链技术团队，致力于参与共建共识、可信、有序的区块链经济体。
新兴产业研究中心 :- 致力于新兴产业研究与个股投资机会挖掘。
天融信阿尔法实验室 :- 天融信阿尔法实验室将不定期推出技术研究新方向成果，专注安全攻防最前沿技术
天御攻防实验室 :- 专注威胁感知、威胁猎杀、高级威胁检测，Adversary Simulation、Adversary Detection、Adversary Resilience
PolarisLab :- 勾陈安全实验室 Www.Polaris-Lab.Com
T00ls :- T00ls，十年民间网络安全老牌社区，聚合安全领域最优秀的人群，低调研究潜心学习讨论各类网络安全知识，为推动中国网络安全进步与技术创新贡献力量！
OWASP :- OWASP中国，SecZone互联网安全研究中心官方平台
ArkTeam :- 攻与防，矛与盾，仗剑与Arkers走天涯
永安在线反欺诈 :- 永安在线是一家专注于黑灰产对抗的创新型安全企业，基于对黑灰产的布控能力，提供一站式反欺诈解决方案。核心产品包括：设备指纹、手机号画像、IP画像、账号安全、内容安全等。
网络安全社区悦信安 :- 一个专心研究网络安全技术的小团体，专为热爱或从事网络安全、信息安全、移动端逆向安全、二进制安全、web渗透测试等安全技术人员提供。 我们的主旨是低调求发展，潜心习技术。专攻术业！
米斯特安全团队 :- 一群热爱网络安全的青年们，能给互联网的安全带来什么？
Ms08067安全实验室 :- www.ms08067.com
贝塔安全实验室 :- 致力于网络安全攻防研究！
银河安全实验室 :- 银河安全实验室
弥天安全实验室 :- 弥天安全实验室，需要您的支持！
西子实验室 :- 一生等不到表哥一句我带你
[Nu1L Team](/team.md#Nu1L Team) :- 这里是Nu1L Team，欢迎关注我们。我们会不定期发放一些福利，技术文章等。
洞见网安 :- 洞见网安，专注于网络空间测绘、漏洞研究、远程监测、漏洞预警
安全钢琴家 :- 我们的征途是星辰大海
AD风险实验室 :- 攻防实验室，您身边的攻防专业知识学习平台。专注于分析互联网黑产群体的作恶手段，研究对抗策略。拥有新鲜黑产情报，前沿防护攻略，欢迎关注！
百度安全实验室 :- 百度安全实验室
川云安全团队 :- 川云安全团队官方公众号，不定期推送技术文章，渗透技巧和热点新网等文章。
暗影安全实验室 :- 暗影安全实验室-移动互联网安全咨询订阅号，为您分享最新移动互联网安全咨询
盘古实验室 :- 专注于移动互联网安全
ThreatPage全球威胁情报 :- 发布网络空间安全态势，提供最新网络空间威胁情报。
鸿鹄实验室 :- 鸿鹄实验室，欢迎关注
Gcow安全团队 :- Gcow是当前国内为数不多的民间网络信息安全研究团队之一。本着“低调发展，自信创新，技术至上”理念，团队主要研究范围“APT捕获分析、渗透测试、代码审计、病毒样本分析、RedTeam、红蓝对抗、程序开发”
靶机狂魔 :- 欢迎各路靶机狂魔的各种sao思路
Khan安全团队 :- 研究方向Web内网渗透，红蓝攻防对抗，CTF。
黑鸟情报局 :- 黑鸟威胁情报中心下属分局，专注严肃情报输出
连接世界的暗影 :- 如果我们不曾看到影子，那就证明我们深处黑暗。
安世加 :- 安世加 专注于信息安全⾏业，通过互联⽹平台、线下沙⻰、培训、峰会、⼈才招聘等多种形式，培养安全⼈才，提升⾏业的整体素质，助推安全⽣态圈的健康发展。
零度安全攻防实验室 :- 一个分享实战经验的平台; 一个专注于web安全、渗透测试、漏洞挖掘、资源分享并为广大网络安全爱好者提供交流分享学习的平台。欢迎各位喜欢做安全的朋友加入。
WhITECat安全团队 :- WhITECat安全团队是起源实验室合作安全团队，主要致力于分享小组成员技术研究成果、最新的漏洞新闻、安全招聘以及其他安全相关内容。团队成员暂时由起源实验室核心成员、一线安全厂商、某研究院、漏洞盒子TOP10白帽子等人员组成。
酒仙桥六号部队 :- 知其黑，守其白。 分享知识盛宴，闲聊大院趣事，备好酒肉等你！
安恒信息安全研究院 :- 一群技术宅
T9Sec :- T9Sec Team 是一个乐于分享、交流至上的安全团队，团队将不定期更新漏洞挖掘中的奇技淫巧以及队员丰富的实战经验技术，绝对干货满满，期待您的关注！
IRT工业安全红队 :- IRT(Industrial Red Team)作为国内以守护工控安全为目标的红队组织，团队成员主要来自众多企业内资深安全专家与工控安全研究员。从技术方向和技术深度都是以工控安全为主线，熟悉众多厂商PLC、DCS系统。
5号黯区 :- 5号黯区是一支致力于红队攻防与培训的团队，官网：www.dark5.net
黑伞攻防实验室 :- 安全加固 渗透测试 众测 ctf 安全新领域研究
[Pai Sec Team](/team.md#Pai Sec Team) :- Penetration Testing & Red Team & Security
哈拉少安全小队 :- 专注安全研究，漏洞复现，python脚本编写，经常更新一些最新的漏洞复现，以及脱敏的实战文章。
LSCteam :- 网络安全技术分享，让网络安全完全深入人心！
美团技术团队 :- 10000+工程师，如何支撑中国领先的生活服务电子商务平台？4.6亿消费者、630万商户、2000多个行业、几千亿交易额背后是哪些技术？这里是美团、大众点评、美团外卖、美团配送、美团优选等技术团队的对外窗口。
爱奇艺技术产品团队 :- 爱奇艺的技术产品团队
字节跳动技术团队 :- 字节跳动的技术实践分享
奇安信安全服务 :- 奇安信安全服务团队官方账号！
轩辕实验室 :- 车联网信息安全和预期功能安全技术
513安全实验室 :- 专注于网络安全研究与分享，不限于渗透测试，红蓝对抗，python编程等。我们的口号是“爱研究、爱分享”。
ipasslab :- 软件安全智能并行分析实验室——专注于分享最新技术
yudays实验室 :- 记录一个菜鸡的蜕变
渗透云笔记 :- 分享学习网络安全的路上，把自己所学的分享上来，帮助一些网络小白避免“踩坑”，既节省了学习时间，少走了弯道，我们也可以去回顾自己所学，分享自己所得与经验，为此我们感到光荣。
渗透攻击红队 :- 一个专注于渗透红队攻击的公众号
null安全团队 :- 信息安全
[Admin Team](/team.md#Admin Team) :- 专注于网络安全、渗透测试、反诈骗。为提升国民的网络安全意识做贡献！
雷石安全实验室 :- 雷石安全实验室以团队公众号为平台向安全工作者不定期分享渗透、APT、企业安全建设等新鲜干货，团队公众号致力于成为一个实用干货分享型公众号。
 
 
高校社团类
 
高校网络安全社团
 
DROPS攻防训练营 :- 中原工学院（ZUT）攻防技术团队
安协小天使 :- 杭州电子科技大学Vidar-Team (原信息安全协会HDUISA&网络空间安全协会) 消息助手
清华大学学生网络安全技术协会 :- 清华大学学生网络安全技术协会信息推送和资源平台
GWHackTeam :- 广东外语外贸大学网络安全实验室信息推送和资源平台
复旦白泽战队 :- 以复旦大学系统安全实验室学生为主成立的安全攻防战队，分享最新研究成果，交流系统安全攻防领域技巧。
蝰蛇安全实验室 :- 湖南农业大学蝰蛇安全实验室
网络安全攻防训练营 :- 平顶山学院攻防技术团队
 
 
CTF类
 
CTF赛事、writeup、技巧
 
XCTF联赛 :- XCTF联赛是在国际范围主要针对大学生的网络安全技术对抗赛，本公众号主要用来宣传XCTF联赛规则，精彩活动，技能训练营等，以此吸引、聚集更多网络安全技术兴趣者，为网络空间安全培养更多的顶级人才。
胖哈勃 :- 1990年，哈勃望远镜（Hubble Space Telescope）发射升空，开启了人类对宇宙空间的崭新探索。 现在，Pwnhub的出现，将引领那些对网络安全感兴趣的人们探索“0 1”世界中的无限奥秘。
 
 
个人类
 
个人、技术分享
 
nmask :- 分享信息安全相关技术文章
二道情报贩子 :- 二道情报贩子，专注任何情报领域。上知天文,下知地理,中晓人和,明阴阳,懂八卦,晓奇门,知遁甲,运筹帷幄之中,决胜千里之外,自比管仲乐毅之贤,抱膝危坐,笑傲风月,未出茅庐,先定三分天下。
红队防线 :- 没有章法，便是最好的章法
安全泰式柑汁 :- 记录、分享自己的一些安全知识和心得
安全小飞侠 :- 安全漏洞信息播报平台，为您提供新鲜，一手的安全资讯与漏洞详情，@安全小飞侠 荣誉出品，欢迎关注！
兜哥带你学安全 :- 介绍企业安全建设以及AI安全基础知识，畅销安全类图书《web安全之机器学习入门》《web安全之深度学习实战》《企业安全建设入门:基于开源软件打造企业网络安全》作者主编
qz安全情报分析 :- 独到观点的安全情报分析
皮相 :- tombkeeper 的公众号
即刻安全 :- 即刻安全，致力于网络信息安全的研究学习与传播！我们的目标是，将网络安全带进大家的生活，提高大家的网络安全意识和认知！
安全回忆录 :- 专注于网络攻防技术的研究与分享！
威胁情报小屋 :- 个人公众号！仅代表个人观点！内容：威胁情报，国际威胁组织动态记录。督促自己学习……感谢大佬们关注
电驭叛客 :- 追求技术的纯粹
baronpan :- 就是写点东西用来对外发
小强说 :- 发布IT、信息安全等领域的资讯信息、个人观点
汉客儿 :- 分享原创技术文章和工具，包括但不限于逆向破解、编程技术、漏洞分析、漏洞挖掘、系统原理等，欢迎交流。
安全喷子 :- 自己一些行业见解，权当我是喷子。
危险解除 :- 我还在。
LemonSec :- Security for life
n1nty :- 记录平日所看所学。
懒人在思考 :- 本懒号主要关注点：隐私（包括加密货币）、攻击、安全开发。从我们这，你至少可以知道当下黑客世界的另类视角。By 余弦@LanT34m
逢人斗智斗勇 :- 仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担！
我的安全视界观 :- 大大的世界，小小的人儿；喜欢夜的黑，更爱昼的白。因为热爱安全，所以想起该做些什么了？！公众号主要将不定期分享个人所见所闻所感，包括但不限于：安全测试、漏洞赏析、渗透技巧、企业安全
渗透攻防笔记 :- Advanced attack perspective
无级安全 :- 无极，无有一极也，无有不及也，无有不及，乃谓太极。低调求发展，安心学技术，做网络安全时代的耕耘者。
寒剑夜鸣 :- 容貌美丑，皆是皮下白骨，表象声色，又有什么分别？ 合作邮箱：rki@live.com
码农翻身 :- 有趣且硬核的技术文章！
Bypass :- 致力于分享原创高质量干货，包括但不限于：渗透测试、WAF绕过、代码审计、安全运维。 闻道有先后，术业有专攻，如是而已。
湛卢工作室 :- 普及安全攻防知识，记录安全学习心得。
漏洞感知 :- 漏洞感知不是过眼云烟的个人订阅号，提供实战能力，这里是值得您反复回看的档案室。
赵武的自留地 :- 关注"赵武的自留地"，在艰苦的生活中，每天获取一些苦中作乐的正能量，给生活添点彩！
Hacking就是好玩 :- 写安全工具的同时，写写字解闷~
牵着蜗牛学安全 :- 积跬步而至千里，分享学习记录和心得体会。
陈冠男的游戏人生 :- 终有一天会发现，现在追逐和拥有的，只不过就像当初幼儿园里的小红花
Sec盾 :- 分享安全技术，跟进安全发展。
远洋的小船 :- 网络安全之路不孤单，愿你乘风破浪，披荆斩棘，归来仍少年。
黑鸟 :- 一介草民，深耕威胁情报领域多年，自封威胁分析师，APT狩猎者，战略忽悠分析师。 专注推送一切前沿高科技战争分析，敌我战略分析，“数据”挖掘，情报拓展，网络武器分析，社会工程学，军事分析忽悠等。
HacTF :- 聚焦网络安全，传播黑客思维，广交天下豪杰
白帽技术与网络安全 :- 致力于分享白帽黑客技术，维护网络安全！
网安小师傅 :- 网络空间安全学习记录，资源分享，cisa、cisp、cissp、oscp、HCIA、HCIP、HCIE等等，CTF，靶场练习，漏洞复现，安全建设，实战测试……
thelostworld :- 开发、安全 学习-工作记录
渗透Xiao白帽 :- 积硅步以致千里，积怠惰以致深渊！
台下言书 :- stay hungry ,stay foolish.
黑白天实验室 :- 研究学习一切网络安全相关的技术
安全档案 :- 跨站师,渗透师,结界师聚集之地
阿乐你好 :- 安全相关信息推送
漏洞推送 :- 专注于安全漏洞、威胁情报发掘。
安全鸭 :- 回头下望人寰处，不见长安见尘雾
一名白帽的成长史 :- 黑客技术学习
漫流砂 :- 有态度，不苟同 No System Is Safe！
三里河安全研究 :- 分享网络安全技术、法律法规、威胁情报，红蓝对抗技术和网络安全事件资讯。
gakki的童养夫 :- emmmmm gakki是我的
RedTeamWing :- Know it,Then hacking it!
wintrysec :- 渗透测试
信安随笔 :- 信息安全学习笔记。
404安全 :- 特色工具，安全文章分享
NearSec :- 专注Web安全领域，分享渗透测试、漏洞挖掘实战经验，面向广大信息安全爱好者。 NearSec - 更接近安全
安全分析与研究 :- 专注于全球恶意软件的分析与研究，追踪全球黑客组织攻击活动
EnjoyHacking :- 分享一些网络安全攻防对抗的趣事
大兵说安全 :- 和大家聊聊网络安全的那些事。
黑金笔谈 :- 在小空间里分享我们对网络安全与金融市场的一些有意思的感悟与记录：）
一溪风月不如云子闲敲 :- 余生，这座城
don9sec :- 不会编程的攻防都是耍流氓。
代码审计 :- 这里是phith0n的公众号，分享和代码相关的所有问题，不仅限于代码安全。
Tools杂货铺 :- 工具人。
HACK之道 :- HACK之道，专注于红队攻防、实战技巧、CTF比赛、安全开发、安全运维、安全架构等精华技术文章及渗透教程、安全工具的分享。
凌晨安全 :- 人说：林深时见鹿，海蓝时见鲸，梦醒时见你。可实际：林深时雾起，海蓝时浪涌，梦醒时夜续。不见鹿，不见鲸，也不见你。但终究：鹿踏雾而来，鲸随浪而涌。表哥，你到底在哪里！
渗了个透 :- 分享日常学习记录和渗透测试中遇到的奇妙姿势。
 
 
web安全类
 
web漏洞、业务安全、前端安全
 
安全祖师爷 :- 官网:www.secshi.com。国内领先的互联网安全媒体，WEB安全爱好者们交流与分享安全技术的最佳平台！这里聚集了XSS牛、SQL牛、提权牛、WEB牛、开发牛、运维牛，公众号定期分享安全教程及相关工具。与其在别处仰望 不如在这里并肩！
云众可信 :- 云众展现全新魅力，可信凝聚无穷力量
嘶吼专业版 :- 为您带来每日最新最专业的互联网安全专业信息。
HACK学习呀 :- HACK学习，专注于互联网安全与黑客精神；渗透测试，社会工程学，Python黑客编程，资源分享，Web渗透培训，电脑技巧，渗透技巧等，为广大网络安全爱好者一个交流分享学习的平台！
APT攻击 :- 研究网络开源最新技术
天億网络安全 :- 全面介绍网络安全相关知识、安全建设方案、分享网络安全行业法律法规及相关政策等内容，一个学习网络安全知识、技术、业务交流的全国性平台。
Rapid7 :- 定期发送产品相关技术文章，关键更新推送，解决方案分享等
[Timeline Sec](/web.md#Timeline Sec) :- Timeline Sec 网络安全团队官方公众号。这里记录着每一个漏洞的发生，手把手教你学会漏洞复现。这里会不定期举办公益性安全学习活动，为你找到更多安全路上的交流伙伴。这里有一群斗志昂扬积极向上的年轻人，等待着你的关注与加入！
宽字节安全 :- 二十年专注安全研究，漏洞分析
守卫者安全 :- 守卫者安全，守卫安全！
关注安全技术 :- 要什么介绍？
GobySec :- 新一代网络安全测试工具，由赵武Zwell（Pangolin、FOFA作者）打造，能够针对一个目标企业梳理最全的攻击面信息，同时能进行高效、实战化漏洞扫描，并快速的从一个验证入口点，切换到横向。
利刃信安 :- 利刃信安资源技术服务
渗透测试教程 :- 只会分享安全技术文章，不会分享安全娱乐新闻。专注渗透测试、渗透自动化武器研发。记录分享学习路上的知识，祝你早日登上SRC英雄榜！
 
 
网络运维类
 
运维、操作系统、加固
 
Linux学习 :- 专注分享Linux/Unix相关内容，包括Linux命令、Linux内核、Linux系统开发、Linux运维、网络编程、开发工具等Linux相关知识和技术
Linux中国 :- 十万级技术订阅号，依托于『Linux中国』（https://linux.cn/）社区，专注于 Linux 学习、技术研究、开源思想传播。
运维帮 :- 互联网技术分享平台，分享的力量。帮主一直坚信技术可以改变世界，从毕业到现在干了15年运维，有许多话要和你说。
Docker中文社区 :- Docker中文社区旨在为大家提供Docker、K8s相关工具及前沿资讯信息，方便大家了解学习Docker相关技术。官网：www.dockerchina.cn
云计算和网络安全技术实践 :- 史上最具参考性的云计算和网络安全技术实践博客。
高效运维 :- 高效运维公众号由萧田国及朋友们维护，经常发布各种广为传播的优秀原创技术文章，关注运维转型，陪伴您的运维职业生涯，一起愉快滴发展。
分布式实验室 :- 关注分布式相关的开源项目和基础架构，致力于分析并报道这些新技术是如何以及将会怎样影响企业的软件构建方式。
马哥Linux运维 :- 马哥教育创办于2009年，国内高端IT培训品牌，毕业学员薪资12K+以上，累计培养数万人。有Linux云计算运维、Python全栈、自动化、数据分析、人工智能、Go高并发架构等高薪就业课程。凭借高品质课程和良好口碑，与多家互联网建立人才合作
 
 
安全研发类
 
开发、后端、业务安全、安全研发规范
 
Python开发者 :- 人生苦短，我用 Python。「Python开发者」分享 Python 相关的技术文章、工具资源、精选课程、热点资讯等。
大邓和他的Python :- 管理学在读博士，本公众号基本围绕着文科生科研需要，分享python网络爬虫、文本数据清洗、文本数据分析。内容相对简单易懂，力求原创文章末尾附有实验代码和数据，方便大家看后动手练习。
进击的Coder :- 分享技术文章和编程经验，内容多为网络爬虫、机器学习、Web 开发等方向。
Python编程 :- 人生苦短，我用 Python ！关注 Python 编程技术和运用。分享 Python 相关技术文章、开发工具资源、热门信息等。
Web开发 :- 分享Web后端开发技术，分享PHP、Ruby、Python等用于后端网站、后台系统等后端开发技术；还包含ThinkPHP,WordPress等PHP网站开发框架、Django,Flask等Python网站开发框架。
数据库开发 :- 分享数据库开发、原理和应用，涵盖MySQL、PostgreSQL、MS SQL Sever、Oracle等主流关系数据库的应用和原理，以及MongoDB、Redis、Memcached等NoSQL数据库和缓存技术。
Java后端 :- 公众号「Java后端」专注于 Java 技术，包括 Spring 全家桶，MySQL，JavaWeb，Git，Linux，Nginx，IDEA，数据结构，高并发，多线程，面试题，GitHub项目精选等相关内容，欢迎 Java 程序员关注。
Python之美 :- 《Python web开发实战》作者的公众号。发现Python之美，主要包含Web开发、Python进阶、架构设计、Python开发招聘信息等方面内容。 不接任何形式的广告，请绕行！
进击的Hunter :- 专注Python、爬虫、后端、Poc、Exp及各种骚操作。各位如有什么想法，请私信我~
SIGAI :- 全方位覆盖AI经典算法与工业应用，紧跟业界新趋势，让你始终站在技术前沿。
NightTeam :- 夜幕团队公众号，涉猎的编程语言包括 Python、Rust、C++、Go，领域涵盖爬虫、深度学习、服务研发和对象存储等，反正谁先关注，谁先涨工资。
七夜安全博客 :- 本公众号分享的内容不仅仅是python开发，还有更多的安全内容。 主要内容： python 爬虫； python web； web安全； 无线安全； 移动安全； 硬件安全； 逆向破解； 操作系统。
安全乐观主义 :- 实践分享企业在建设安全开发生命周期各阶段及流程中的优秀实践，内容涉及代码审计、业界对标、系统工程化心得、国外资料分享，搭建应用安全交流平台。
小生观察室 :- 本观察室仅个人做内容存档使用！
 
 
二进制安全类
 
汇编、逆向、溢出、破解
 
吾爱破解论坛 :- 吾爱破解论坛致力于软件安全与病毒分析的前沿，丰富的技术版块交相辉映，由无数热衷于软件加密解密及反病毒爱好者共同维护，留给世界一抹值得百年回眸的惊艳，沉淀百年来计算机应用之精华与优雅，任岁月流转，低调而奢华的技术交流与探索却是亘古不变。
malwarebenchmark :- 开源恶意代码基准测试（OMB，malwarebenchmark.org）持续跟踪全球最新恶意代码，实时发布网络空间安全以及恶意代码技术、分布、演变等信息，定期公开相关基准测试集合以及测评报告。
看雪学院 :- 致力于移动与安全研究的开发者社区，看雪学院(kanxue.com)官方微信公众帐号。
 
 
硬件安全类
 
路由器、工控、摄像头、无线电
 
全频带阻塞干扰 :- 坚持以非正常体位探寻未知信号。 国内商业安全、TSCM技术反窃密、隐私保护及物理安全领域引领者。 在通信安全，海外威胁情报，犯罪防御和群氓效应方面也有一点点建树。
物联网IOT安全 :- 我们是一个专注于物联网IOT安全 固件逆向 近源攻击 硬件破解的公众号，与我们一起学习进步。
Gh0xE9 :- 个人势公众号，专攻网络安全，硬件等方面，狩猎范围极广，不积跬步，无以至千里，低调说话，高调做事。
取证杂谈 :- 分享电子取证及司法鉴定相关知识
电子取证及可信应用协创中心 :- 电子取证及可信应用湖北省协同创新中心（培育）的订阅号。介绍和宣传法庭科学中的电子数据取证（Digital Forensics）涉及的科学知识、技术实践和创新应用，推动电子数据取证的普及和发展。
湘雪尘奕 :- 最近公众号主要以视频为主，每周发布一个新的视频！内容主要围绕工业控制系统网络内容，主要涉及工控设备、协议解析及检测评估等方向。
电子物证 :- 关注刑事证据科学前沿发展，传递电子物证技术最新趋势
老马玩工控安全 :- 聚焦工控安全，提供集政策标准、工具、论文等免费下载以及技术交流、互动、交友为一体的工控安全交流平台。
威努特工控安全 :- 我们将为你分享最前沿的国际工控网络安全技术，国家相关政策法规解读及经典成功案例解析。
 
 
其他
 
杂项
 
黑客技术与网络安全 :- 分享黑客技术和网络安全知识，让程序员了解黑客世界，学习黑客技术；普及上网和网络安全知识；帮助黑客、安全从业者、安全爱好者学习与成长。
安全学术圈 :- 分享安全方面的论文写作、会议发表、基金申请方面的资料。
安全帮Live :- 安全帮 帮你学安全
一本黑 :- 一双互联网阴暗面的眼睛
MS509 :- MS509为中国网安开展互联网攻防技术研究的专业团队，当前主攻方向包括WEB安全、移动安全、二进制安全等。
正阳风控学社 :- 风控是一个大系统。
全球技术地图 :- 洞见前沿，引领未来。
情报分析师 :- 情报研究中心，普及情报知识，培养情报思维，传播情报文化，服务情报人员。
虎符智库 :- “虎符智库” 专注解读网络安全重大事件与技术趋势，提供高层决策参考。
lymmmx :- lymmmx
IMKP :- 星光不问赶路人
DJ的札记 :- 关注信息安全的新技术和未来趋势
bloodzer0 :- 不是从0开始，而是从1开始！
谛听ditecting :- 东北大学“谛听”网络安全团队
[vessial的安全Trash Can](/other.md#vessial的安全Trash Can) :- 一个安全研究人员的自留地
深澜深蓝 :- 安全风云波澜壮阔，对酒当歌人间值得。
GoCN :- 国内最具规模和生命力的 Go 开发者社区
冷渗透 :- 黑产研究，渗透测试，漏洞挖掘，记录非常规思路的hackdom。
小议安全 :- 有关网络安全、零信任、安全管理、安全分析和数据安全的一些沉淀和想法，以及个人成长，以原创为主。
腾讯安全智能 :- 该账号主要围绕智能化技术如何帮助企业提升网络安全水平展开，内容涉及机器学习、大数据处理等智能化技术在安全领域的实践经验分享，业界领先的产品和前沿趋势的解读分析等。通过分享、交流，推动安全智能的落地、应用。
落水轩 :- 不谈技术，只说故事。喝完这杯，还有三杯
PeckShield :- A blockchain security company with the goal to elevate the security, privacy, and usability of current ecosystem.
青衣十三楼飞花堂 :- C/ASM程序员之闲言碎语
安全引擎 :- What is Security?
浅黑科技 :- 在未来面前，我们都是孩子。
Viola后花园 :- 杂七杂八的分享
数据安全与取证 :- 我们专注于电子取证技术的分享及司法鉴定实践的交流，涵盖了计算机取证、手机取证、电子物证、司法鉴定等众多领域，是电子取证公司与电子取证从业者交流学习的首选平台。
这里是河马 :- 这里是河马，SHELLPUB.COM 公众号
专注安管平台 :- 专注安管平台、SIEM、SOC、SOAR、大数据安全分析、态势感知等平台类安全领域。
[404 Not F0und](/other.md#404 Not F0und) :- 致力于分享原创高质量干货，包括但不限于：安全、数据、算法、思考
虚拟框架 :- 解锁 Android 手机黑科技！
网安寻路人 :- 立足本土实践和需求，放眼全球做法和经验，探寻网络空间安全之法道。
夜暗心明 :- 阳光白云蓝天与你，缺一不可
边界无限 :- 专注于攻防对抗研究及云安全领域研究
熊貓情報局PIB :- 熊貓情報局PIB关注全球网络安全。
 
Contribution
 
感谢为平台提供优质公众号
 【hack4】
 【admin】
 【】
 【吴才子】
 【Joynice】
 【Hatcat123】
 【404】
 【CyberDefense】
 【Cooper】
 【沈登年】
 【xzw】
 【Paper-Pen】
 【你们的饭不好吃】
 【mmmshuoka】
 【Jdrops】
 【yichen】
 【lengyi】
 【crazyman】
 【HELEL】
 【lsh4ck】
 【黑鸟】
 【许心痕】
 【Tone】
 【HacTF】
 【hacker520sb】
 【0pen1】
 【暗影安全团队】
 【zonei123】
 【冰崖】
 【thelostworld】
 【梁景普】
 【Dooonsec】
 【启明星辰–云众可信】
 【慧保天下】
 【预言】
 【守卫者安全】
 【suxuan】
 【palink】
 【Chyxs】
 【Kobe_Fans】
 【Kali】
 【xdccmwyh123】
 【None安全团队】
 【龙鑫泰】
 【tangxiaofeng7】
 【赵彬彬】