今天51cto上看这门书有一段话觉得很有意思：需要说明的是，在现实中接触的很多工程师，每提及面向非连接的通信都嗤之以鼻，似乎面向非连接一无是处，在数据传输过程中优先级很低，经常会丢包，故这里以开发和实践的角度对二者进行如下比较：面向连接和面向非连接只是电信专家与计算机专家就网络传送数据的方法进行争论后的一个折中结果。前者认为应该把传输的可靠保证放在传输上，后者认为应该把传输的可靠保证放在计算机端进行

黑产

什么东西网页形式的命令执行环境。或者叫网页后门。如何检测木马文件名 文件title 木马文件内容

侧重点系统安全扫描，针对漏洞，弱口令。 针对的是操作系统，应用软件层面的漏洞。DAS-RAS主机发现，端口探测，服务与版本识别。 主机系统类型，弱口令，主机漏洞发现（非授权探测和授权探测）。漏洞37000，系统，中间件，数据库，应用软件，虚拟机，防病毒软件。产品形态软件版和平台版。软件版本支持Windows CS架构。pint改版Linux BS架构。H系列单个IP10分钟。

同源策略是一种约定，它是浏览器最核心也是最基本的安全功能。但是有src属性的标签不受同源策略的影响。比如script、img、iframe、link。相当于浏览器发送get请求。但是原页面的js不能访问通过src加载的资源。这也是和XMLHttpRequest的重大区别。对于浏览器来说：除了DOM、Cookie、XMLHttprequest会受到同源策略的限制外，浏览器加载的第三方插件也有各自

本文参考，网马是web安全中常见的情况。 什么是网马，我的理解就是个文件，这个文件一般为web代码。客户端或者服务器端的代码都可能。看攻击的方式。网马攻击一般分三部分：（1）获得权限（2）编写网马（3）准备恶意软件。如何获得植入木马的权限？（1）入侵网站，拿到管理员权限。（2）ARP欺骗，在网络包中植入。一般说来，网马和恶意软件都在恶意网站上，而不是目标网页。目标网页中包含的只是植入代码，而不是网

今天公司发了一个投票发现可以刷票。 发现的第一个漏洞。 匿名guest用户只是设置一些cookie。 而且这些cookie不能标记是否是同一台电脑。 如果清空所有cookie就可以再次投票。 如果不能找到识别是否是同一台计算机的办法。 估计不太好防止用户刷票。 致谢pvote.a.mvote.net

2013年5月20日曝光。为美国政府提供服务的公司：八大金刚。FBI负责国内监控，TAO国外监控。

RemoteAddress

traceroute的原理就是发送icmp包，设置不同的ttl字段。但是在windows下为什么同样ttl值的包要发送三个？

测试发现工作中绑定特定ip，如果换ip，ping网关不通。外网自然不能访问。

webshell

一般的服务器如何和客户端进行端口协商

以太网二层

ping包如果过NAT，如何返回。我们知道NAT本身是通过五元组表项为依据进行的地址分配和报文过滤。NAT本身有多中用法：EasyIP、PAT、NOPAT、静态NAT和NAT Server几种用法。参见这里。其中有对于ICMP报文处理的说明。

三层报文的几个问题

暗链就是页面本中存在但是不可见的链接。但源码中存在。目的为什么要去黑甚至买暗链，目的就是在高权重不网站上有你网站的链接能显著提高你自己网站在搜索引擎中的排名。为啥扫到暗链没扫到漏洞攻击者自己修复 弱口令字典缺失或者需要验证码 管理员自己卖暗链

开放漏洞与评估语言。

听说很强大的工具

本机系统查询139的开放信息发现 TCP 10.121.23.12:139 0.0.0.0:0 LISTENING 4 而查询445发现： TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 local Address 监听的地址不一样

二层组播和三层组播

（1）net view （2）//本机在域里的角色 net localgroup administrators （3）//域里的成员 net user /domain （4）//域管理员 net group “domain admins” /domain

ssl和tls

今天51cto上看这门书有一段话觉得很有意思：需要说明的是，在现实中接触的很多工程师，每提及面向非连接的通信都嗤之以鼻，似乎面向非连接一无是处，在数据传输过程中优先级很低，经常会丢包，故这里以开发和实践的角度对二者进行如下比较：面向连接和面向非连接只是电信专家与计算机专家就网络传送数据的方法进行争论后的一个折中结果。前者认为应该把传输的可靠保证放在传输上，后者认为应该把传输的可靠保证放在计算机端进行

我们知道，出于安全考虑，浏览器自身的安全沙箱机制，会限制浏览器脚本去操作本地文件系统。但是FF和chrome都已经逐步开放文件API，尽管还有一些安全上的限制。

cc攻击DOS的一种，一般针对网站。盗链在自己网站上引用别的网站的资源。比如在自己网站上加上别的大站的图片，音视频资源。所以最多的也就是这两类盗链。如何防止?检查HTTP请求头的REFERER字段。Cookie篡改劫持逃逸攻击又是一个大领域，通过网络协议的漏洞来逃避检测。Botnetbotnet一般叫做僵尸网络，是CC攻击中的一种。

待

待

待

WIN2008中的网络访问保护模块

注意到检测系统显示的高危漏洞分别是22，135，139，445，3389端口。今天就分别了解下这些端口一般情况下是干什么用的。2222端口一般用于ftp的数据传输。

session and cookie

今天刚听说的，下次找时间了解下。

客户端关闭连接后进入time_wait状态。如果大量短连接导致端口不够用。net.ipv4.tcp_fin_timeout这个字段的默认时间默认是60秒，不过据说这个值只是系统输出，不知道修改能否生效，可能需要重新编译内核。