刘书的IT博客

GourdScan是一个分布式SQL漏洞扫描器，采用Python+PHP开发，后端采用SQLMAP。通过浏览器代理方式获取请求进行漏洞检测。神器用起来简单但环境搭建还是有点麻烦，花了一晚上时间终于运行成功。    现把完整搭建过程分享如下： 操作系统： windows7工具准备：phpStudy：http://rj.bai

作者简介PeterKirk：益族科技有限公司技术总监、中国网络红军创建人、涅槃网络安全研究院核心会员。在应急响应、等级保护、分险评估、APP安全检测、程序设计、领域有一定的经验，熟悉代码审计、渗透测试等Web安全领域。现同时担任U安全技术总监。前言大家都知道搜索方法正确后可以大大提高搜索效率，会使大家的工作既省心又省力！网上针对百度搜索技巧的方法也很多，但是PeterKirk在这里做一个总结，总结

一、校验数字的表达式1 数字：^[0-9]$2 n位的数字：^\d{n}$3 至少n位的数字：^\d{n,}$4 m-n位的数字：^\d{m,n}$5 零和非零开头的数字：^(0|[1-9][0-9])$6 非零开头的最多带两位小数的数字：^([1-9][0-9])+(.[0-9]{1,2})?$7 带1-2位小数的正数或负数：^(-)?\d+(.\d{1,2})?$8

写这篇Blog，主要是因为看到太多的凌乱的，不安全的处理文件的代码了。甚至可以说每个项目都会有人喜欢写自己的一些FileUitl。。下面介绍一些利用JDK7标准库来灵活处理文件的方法。实用的工具类，Path，Paths，Files，FileSystem 有一些很灵活的处理方法： [java] view plain copy 

J2EE中容器充当中间件的角色。主要的容器包括：WEB容器：给处于其中的应用程序组件（JSP，SERVLET）提供一个环境，使JSP,SERVLET直接更容器中的环境变量接口交互，不必关注其它系统问题。主要有WEB服务器来实现。例如：TOMCAT,WEBLOGIC,WEBSPHERE等。该容器提供的接口严格遵守J2EE规范中的WEB APPLICATION 标准。我们把遵守以上标准的W

今天在做一个Memcache的session测试，但是在测试的过程中，发现Memcache没有一个比较简单的方法可以直接象redis那样keys *列出所有的Session key，并根据key get对应的session内容，于是，我开始查找资料，翻出来的大部分是一些memcache常用命令等，但是对列出key的办法，讲解却不多，于是来到google，找到了一个国外的资料 具

关于如何碰撞两个功能不一样，但 MD5 值一样的程序的方法。如果您还没有阅读过之前的内容，请先查阅以下链接：使用 MD5 碰撞算法伪装木马，躲过杀毒软件查杀，加入360白名单指定MD5值碰撞，指定MD5碰撞免杀，修改木马MD5值和系统文件一致当时我在帖子里写的是：用到的工具如下：1、MD5 碰撞发生器 v1.5 （MD5 Collision Ge

/* MD5 Collision Generator by Patrick Stach pstach@stachliu.com>* Implementation of paper by Xiaoyun Wang, et all.** A few optimizations to make the solving method a bit more deterministic**

很多不太懂正则的朋友，在遇到需要用正则校验数据时，往往是在网上去找很久，结果找来的还是不很符合要求。所以我最近把开发中常用的一些正则表达式整理了一下，在这里分享一下。给自己留个底，也给朋友们做个参考。1校验数字的表达式数字：^[0-9]*$n位的数字：^\d{n}$至少n位的数字：^\d{n,}$m-n位的数字

昨天（10月30号），华为第二届安全沙龙在深圳百草园召开。本次沙龙虽然只邀请了100多人，但包括了四十多个企业，大家都对安全非常重视，希望加强交流。华为信息安全部部长陆焱致辞：这是一个最坏的年代，也是最好的年代。坏第一，我们面临的环境有了很大的变化，从传统安全时代已经进入了社交化、云化、移动化的时代，这是一个很大的挑战。第二，要防护的越来越多，不仅仅是企业本

一、 “已知”or “未知”已知的已知，已知的未知，未知的未知，这个最近安全行业也谈的比较多，目前圈内热炒的“威胁情报”，其实应该属于“已知的未知”，对本地来说是未知威胁，其实是别的地方已经发生过的威胁。真正的“未知的未知”怎么办，虽然从没发生过的威胁首次在我们身上发生的概率很小很小，但是目前好多攻击都是窃取管理员的身份或者合法用户身份去做一些貌似合法的操作，这些内部发生的“异常”行为，没

和其它安全设备一样，RFID设备的安全性并不完美。尽管RFID设备得到了广泛的应用，但其带来的安全威胁需要我们在设备部署前解决。本文将主要介绍几个RFID相关的安全问题。1.RFID伪造根据计算能力，RFID可以分为三类：1.普通标签(tag)2.使用对称密钥的标签3.使用非对称密钥的标签其中，普通标签不做任何加密操作

http://mp.weixin.qq.com/s?__biz=MzAxNDM3NTM0NQ==&mid=401062957&idx=3&sn=a41268b042c566329d2ae00fd7b0a466&scene=0#wechat_redirect

图为 RSA公开密钥算法的发明人,从左到右Ron Rivest, Adi Shamir, Leonard Adleman. 照片摄于1978年　　 RSA加密算法是最常用的非对称加密算法，CFCA在证书服务中离不了它。但是有不少新来的同事对它不太了解，恰好看到一本书中作者用实例对它进行了简化而生动的描述，使得高深的数学理论能够被容易地理解。我们经过整理和改写特别推荐给大家阅读，希望能够对时

http://news.wooyun.org/70357a3632564a524732376c58516a414d48396d61773d3d#rd

http://blog.nsfocus.net/web-browser-fuzzing/

帅气如你，一定会戳上面蓝字关注我们的！福利在最下方360护心镜是一款XSS前端主动防御的工具。通过监控页面中的js行为、DOM元素的创建来动态识别、阻断XSS行为，同时可进行预警，方便安全人员实施应急响应。0x01 XSS是什么?XSS是黑客通过前端网页向受害者浏览的网页中注入js脚本,从而实现攻击目的。与其它web漏洞不同,XSS并非直接攻击服务器,而是攻

http://mp.weixin.qq.com/s?__biz=MzAwNTYwMjM3Mw==&mid=400416723&idx=1&sn=c127fca18c008ffc3c7beb7bad0de5fb&scene=0#wechat_redirect

抛出的错误是这样的：[plain] view plaincopyprint?javax.net.ssl.SSLException: hostname in certificate didn't match:  !=  OR  OR       at org.apache.http.conn.ssl.AbstractVerifier.ver