花米徐xl_lx的专栏

前言：构建新系统与更新老系统，设计与实施要考虑防御入侵的手段，威胁建模是种手段.威胁的分类：来自网络，来自主机，来自应用。威胁建模的定义：结构化标识、定量、定位威胁的方法，是开发过程的一部分。设计安全软件的其中一个问题在于，不同的团体考虑安全性的方式不一样。软件开发人员认为安全性好坏主要取决于代码质量，而网络管理员考虑的是防火墙、事件响应和系统管理。

PHP安全之webshell和后门检测 阅读 1442，2017年03月17日 发布，来源：www.cnblogs.com基于PHP的应用面临着各种各样的攻击：XSS：对PHP的Web应用而言，跨站脚本是一个易受攻击的点。攻击者可以利用它盗取用户信息。你可以配置Apache，或是写更安全的PHP代码（验证所有用户输入）来防范XSS攻击 SQL注入：这是PHP应用中，数据库层的易受攻击点

Windows Server 2016 配置指南 之 IIS 设置 HTTPS HTTP/2 并跑分到 A+一、首先我们需要申请一款证书，然后证书一定要是 IIS 支持的 pfx 格式，不然的话 pem 和 key 格式的还需要再转换一下，非常的麻烦。二、进入 IIS控制台 —— 服务器证书三、导入证书，选择 导入四、然后进入 网站 —— 你的网站 —— 绑定，选择：类型： H

HTTPS 安全最佳实践（一）之SSL/TLS部署 https://blog.myssl.com/ssl-and-tls-deployment-best-practices/HTTPS 安全最佳实践（二）之安全加固 https://blog.myssl.com/https-security-best-practices/HTTPS 安全最佳实践（三）之服务器软件 https://bl

https://www.zhihu.com/question/25539382Web前端密码加密是否有意义？ 既然前端代码都是直接可以看到的，那加密是否还有意义？ 我总结一下，首先大家都知道走 HTTPS 才是目前唯一负责的方式。 但在 HTTP 环境下，无论如何都可能会被劫持流量，不管前端做不做加密都会被轻易成功登录。这个时候保护密码明文是否有意义？有人站队前端加密无意义，考虑的是这个

渗透测试人员入门 如何配置Kali Linux直接用于工作  在7月底的时候，安全加介绍Fireeye出品的 免费恶意软件分析工具FlareVM，还可进行逆向工程和渗透测试 。今天是看到绿盟科技的一篇介绍Kali Linux配置的文章，这个工具也进入了 渗透测试工程师的17个常用工具列表 。为什么要选择Kali LinuxKali Linux是基于Debian的Linux发行版

kali linux web渗透测试学习笔记 metasploit使用方法： 启动： 第一步：启用Postgresql服务。service postgresql start第二步：启用metasploit服务。service matasploit start第三步：启动框架。msfconsole一个ASP站点的sql注入 测试数字型注入点

移动APP渗透测试方案 展示5个方面总结3种常见漏洞 发布时间：2017年10月26日 10:47    浏览量：1193 绿盟科技这几天连出渗透测试文章，真是干货啊。之前安全加介绍了金融行业 实战微信银行渗透测试， 运营商 渗透测试实战 ，今天让我们来说说移动APP渗透测试方案，这涉及安全威胁分析及风险、APP安全测试内容及流程、测试要点。BTW：昨天的 渗透测试 的流程及渗

渗透测试的8个步骤 展现一次完整的渗透测试过程及思路 发布时间：2017年10月25日 15:11    浏览量：1104 渗透测试这个事情不是随便拿个工具就可以做了， 要了解业务还需要给出解决方案 。之前安全加介绍了金融行业 实战微信银行渗透测试， 运营商 渗透测试实战 ，今天让我们来说说 渗透测试 的流程及渗透测试相关概念。渗透测试流程渗透测试与入侵的最大区别渗透测

渗透测试工程师的17个常用工具 还有专家告诉你如何成为渗透测试人员 发布时间：2017年9月15日 07:51    浏览量：2231 渗透测试 (pen testing) 是由安全专家进行的一项安全性测试，其目的是为了在攻击者攻击之前发现系统中的漏洞。它需要聪明的思考、耐心和一点点运气。此外, 大多数安全专家将需要一些具体的工具来帮助完成这项工作。最近, 外媒跟一些民间组织和

彩虹表是一个用于加密散列函数逆运算的预先计算好的表, 常用于破解加密过的密码散列。一般主流的彩虹表都在100G以上。 查找表常常用于包含有限字符固定长度纯文本密码的加密。这是以空间换时间的典型实践, 在每一次尝试都计算的暴力破解中使用更少的计算能力和更多的储存空间，但却比简单的每个输入一条散列的翻查表使用更少的储存空间和更多的计算性能。使用加盐的KDF函数可以使这种攻击难以实现。

安全测试，安全漏洞

今天完善了ASVS的PPT。整理成WORD了。WEB应用安全评估标准- OWASP  ASVS (Application Security Verification Standard)一、什么是ASVSuThe OWASP Application Security Verification Standard (ASVS) Project provides a basis

就连我院的线上教学支持系统都打算分离出核心数据（即学生和课程的信息），通过REST风格的Web服务来提供这些中心数据，支持其他功能（例如课程论坛、作业发布和提交等）的实现。这样做的好处自然是分离的数据可以再提供给今后更多的服务使用，比起传统的全部使用本地数据库的方法减少了冗余和错误的产生。而其缺点在于加大了开发难度，以前可以很轻松的诸如数据表中外键的功能全部得从第三方资源实现，一定程度上降低了网站

安装完Kali Linux后的一些配置1、更新软件源： 修改sources.list文件，终端中输入：leafpad /etc/apt/sources.list 粘贴以下内容到文件中官方源deb http://http.kali.org/kali kali main non-free contrib deb-src http://http.kali.org/kali kali ma