quantumsec的博客

浏览器安全 同源策略

安全评估流程 威胁分析模型 风险分析模型

之前阅读过的书籍未很好的进行管理，归纳，偶尔简单的做下笔记，但总觉得不成体系，肚子里货不够，需不断的学习新的知识，希望能一直坚持下来！

看到xss章节，很多还是不太懂的，还需要再继续学习javascript等相关的知识，推荐学习网站http://www.w3cschool.cn/，下面的知识点是主要是之前看到过的内容，并附上自己的小实战xss类型 1. 反射型 2. 存储型 3. DOM Based型 原理： 注：上图来自http://yttitan.blog.51cto.com/70821/1571910实战例

cookie劫持 xss钓鱼 useragent classid xss构造技巧

xss构造技巧续 <base>标签 flashxss window.namehttponly xss防御

SSRF概述SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定U

业务安全 安全运营 安全开发流程 账号安全

Apach安全 Nginx jBoss远程命令执行 tomcat远程命令执行 Http参数混淆