agent_peakey的专栏

1.      概念SSL是由Netscape发明，V3版本是结合了公众和厂商的意见而设计的，它开始被作为一种互联网草案而发布，现在已经成了互联网上的标准。IETF在Openssl3.0的基础上做了一些细微的修改，编写了TLS1.0版本，也即SSL3.1。 SSL构件SSL用来提供端到端的可信TCP链接，SSL涉及到2层协议，如下图SSL握手协议SS

Javascript         JS是Web前端开发、Web前端漏洞挖掘必备技能。本文对一些基本的JS运用做一个简要的总结供自己学习回顾之用。                  JS里所有的变量都是对象，都有属性和方法，比如数字类型，都有tostring方法，可以直接转成字符串。         vara=1; var b=a.toString();     //JS数字转字

struts2漏洞利用1.      概念Apache Struts2是一个适用于Java Web应用的开发框架，在企业Web应用市场广泛被使用。该框架由于使用广泛，被安全人员研究较多，爆出了很多高危漏洞，官网上发布了很多安全问题修复方案：http://struts.apache.org/docs/security-bulletins.html，且由于表达式灵活，修复方式也很容易被绕过

GoogleHacking0x01 概念         听到这个词很久了，一直只闻其名不见其神。Googlehacking，顾名思义，就是用搜索引擎来搜索特定的信息，尤其是与入侵/hack相关的信息。         GoogleHacking主要用到google的以下几个搜索技巧：l  site: 搜索指定域名，可以包含通配符*，比如 site:*.baidu.com 只搜索百

HTML5Ssec.org中文版 #1 XSS formaction，需要用户交互poc：Xformaction是html5的的@action动作。防护：不要允许用户提交包含@form和@formaction属性的标签，或者把它们转换成伪造的属性。避免给或@submit赋予@id属性。 #7 autofocus属性，来实现自执行poc：当页面加载时，

网络安全攻击中，为了更形象更通俗的表达攻击方式，人们对一些攻击方式进行了很有趣味的命名，比如鱼叉攻击和水坑攻击。鱼叉攻击（spear phishing） 故名思议，是使用鱼叉进行针对性的攻击。她的攻击方式一般是特定的政府、公司或团体。最常使用的方式是，发送包含木马的邮件给特定的人员，诱使对方打开邮件，感染木马。这种邮件一般都有很诱惑的标题，比如政治机密、色情、金融机密等。用户遇到这种邮

【背景知识】Cookie分为2种：临时cookie，没有expire-day，浏览器打开网页得到，关闭网页销毁。本地cookie，有expire-day，浏览器打开网页得到，生命期结束后才销毁，不论网页是否关闭。浏览器同时打开了A页面和B页面（二者不同域名），A页面中有B页面的资源C。所以用户打开A页面时，会请求B页面中的资源C，发给B的数据包中就带有临时cookie，