BurpSuite是一個免費的網站攻擊工具。它包括proxy、spider、intruder、repeater四項功能。

WebGoat是由著名的OWASP負責維護的一個漏洞百出的J2EE Web應用程序，這些漏洞并非程序中的bug，而是故意設計用來講授Web應用程序安全課程的。這個應用程序提供了一個逼真的教學環境，為用戶完成課程提供了有關的線索。

本文描述了基于IP骨干網的VPN框架體系，討論了不同類型的VPN以及它們具體的要求，提出了用當前的規范去實現這些VPN的機制。本文的目標是，為開發交互VPN解決方案的全范圍規范集提供相關協議開發的框架。

Shiro是Apache的頂級項目、是開源的安全框架。用于控制身份認證、單點登錄、及控制同一用戶Session的數量。目前很多項目都采用Shiro框架。Shiro與Spring security相同都是安全框架，但相比與spring security具有配置簡單的特點。比較容易上手。

Struts2、Spring、Hibernate三大框架一直以來是公司熱衷使用的框架。現將三大框架整合全部過程做成文檔，供小伙伴們參考。希望對正在學習這三個框架的學生有所幫助。

HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講就是HTTP的安全版。 HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，它比http協議安全，是目前廣泛用于互聯網上進行安全通訊的一種技術。

一XSS簡介什么是XSSXSS全程（CrossSiteScripting）跨站腳本攻擊，是最常見的Web應用程序安全漏洞之一，位于OWASPtop102013年度第三名XSS是指攻擊者在網頁中嵌入客戶端腳本，通常是JavaScript編寫的危險代碼，當用戶使用瀏覽器瀏覽網頁時，腳本就會在用戶的瀏覽器上執行，從而達到攻擊者的目的從上面中的一段話，可以得知，XSS屬于客戶端攻擊，受害者最終是用戶，但特別要注意的是網站管理人員也屬于用戶之一。這就意味著XSS可以進行“服務端”攻擊，因為管理員要比普通用戶的權限大得多，一般管理員都可以對網站進行文件管理，數據管理等操作，而攻擊者一般也是靠管理員身份作為“跳板”進行實施攻擊。XSS攻擊最終目的是在網頁中嵌入客戶端惡意腳本代碼，最常用的攻擊代碼是javascript語言，但也會使用其它的腳本語言，例如：ActionScript、VBscript。而如今的互聯網客戶端腳本基本是基于Javascript,所以如果想要深入研究XSS，必須要精通Javascript。XSS換句話說，JavaScript能做到什么效果，XSS的胃里就有多大。這完全不是危言聳聽。javascript可以用來獲取用戶的cookie，彈出窗口，那么存在XSS漏洞的網站，XSS就可以用來盜取用戶Cookie,廢掉頁面，導航到惡意網站！更高端的XSS代碼完全可以進行監控你的鍵盤操作，模仿Windows注銷界面，誘導你輸入開機密碼！而攻擊者需要做的僅僅是向你的代碼中注入Javascript代碼！如何挖掘XSS尋找腳本程序的輸出顯示代碼，搜索關鍵字，顯示輸出那個變量，跟蹤變量是否被過濾。二XSS的類型（一）反射型XSS或不持久型XSS實例1測試結果在這段代碼中程序接受name的值，并且輸出，如果提交xss.php?name=HIM,那么程序講輸出HIM，如果惡意用戶輸入username=<script>XSS惡意代碼</script>,因為程序并沒有進行XSS代碼過濾，最終造成反射型XSS漏洞實例2https://public-firing-range.appspot.com/源代碼<script>alert("XSS")</script>實例3</title><svg%20onload=alert("XSS")>（二）儲存型XSS或持久型XSS實例1與反射型XSS相比，唯一的區別就是XSS代碼被帶入數據，在下次瀏覽時，又被讀取出來使用DVWAmysql-uroot–prootshowdatabasesusedvwashowtablesselect*fromguestbookdeletefromguestbook<script>alert(/xss/)</script>實例2<scripttype="text/javascript">window.location='http://www.baidu.com';</script>（三）DOMXSS實例1實驗如下實例2<svgonload=alert("0")>（四）變異XSShttp://www.thespanner.co.uk/2014/05/06/mxss/變異XSS是從安全范圍引導入不安全的為過濾范圍。大多數的常見的變異XSS結構是源于錯誤的閱讀innerHTML之間的代碼。一個好的變異XSS例子是使用listing元素使XSS條件滿足<listing>&lt;imgsrc=1onerror=alert(1)&gt;listing>當linsting的innerHTML之間被讀，它轉變進入一個image元素，即使原始的HTML被避開。下面的代碼例子顯示出實際是如何被解析的。<listingid=x>&lt;imgsrc=1onerror=alert(1)&gt;listing><script>alert(document.getElementById('x').innerHTML)script>alert的預期的結果是將輸出“&lt;imgsrc=1onerror=alert(1)&gt;”然后IE10實際解析返回的結果是“<imgsrc=1onerror=alert(1)>”。引導者從安全范圍引導入不安全的為過濾范圍。變異XSS影響數據多次被讀，第一層是真是的HTML，而且每次讀innerHTML之間是被看作其它變異，取決于它變異的次數。http://www.businessinfo.co.uk/labs/mxss/通過使用mxsstool可以輕松知道矢量變異和執行。因為變異XSS影響多個等級，根據下面的HTML將完美有效的，如果你改變等級到2。這讀寫HTML兩次，你當然能增加變異值和無線編譯。<listing>&amp;lt;imgsrc=1onerror=alert(

代碼執行漏洞(Code Execution)：系統提供代碼執行類函數主要方便處理各類數據.而當不合理的使用這類函數，同時調用的變量未考慮安全因素，就會執行惡意的代碼，被攻擊利用。

ApacheShiro是功能強大并且容易集成的開源權限框架，它能夠完成認證、授權、加密、會話管理等功能。認證和授權為權限控制的核心，簡單來說，認證就是證明你是誰？Web應用程序一般做法通過表單提交用戶名... ?ApacheShiro是功能強大并且容易集成的開源權限框架，它能夠完成認證、授權、加密、會話管理等功能。認證和授權為權限控制的核心，簡單來說，“認證”就是證明你是誰？Web應用程序一般做法通過表單提交用戶名及密碼達到認證目的

本部分主要講解Shiro快速入門。 Shiro簡介安全框架與springsecurity的比較。2：快速ShiroWeb示例1：目的快速入門，省去那些無用的介紹。待學會基本的配置與使用后再行詳解。2：web示例快速入門通過使用ini配置web快速入門，可以快速的掌握shiro的使用。免去學習大篇的理論知識。等待，學會配置和基本使用以后，再去學習理論知識。即先學會用，再去深入研究的學習思路。步1：創建web項目
步2：導入shiro的包以下是主要導入的包及依賴關系：
以下是最少需要的包：
說明：Beanutils是shiro在設置組件關系時使用的依賴包。

1.檢測指標：密碼安全：描述：判斷密碼是不是容易被盜取操作：可以通過瀏覽器查看是否加密，并將加密作為獨立請求進行測試驗。此外曉風后臺的登陸沒有手機驗證碼進行驗證功能，我們目前系統增加了這塊驗證使得系統登陸更加安全。SQL注入檢測描述：檢測Web網站是否存在SQL注入漏洞，如果存在該漏洞，攻擊者對注入點進行注入攻擊，可輕易獲得網站的后臺管理權限，甚至網站服務器的管理權限。

SQLInjection(SQL注入)嚴重性非常高概述就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。原理它是利用現有應用程序，將（惡意）的SQL命令注入到后臺數據庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的數據庫，而不是按照設計者意圖去執行SQL語句例子程序從Http請求中讀取一個sql查詢。

實例本例所覆蓋的內容：使用SpringSecurity管理用戶身份認證、登錄退出用戶密碼加密及驗證采用數據庫的方式實現SpringSecurity的remember-me功能獲取登錄用戶信息。

下面我們將實現關于SpringSecurity3的一系列教程.?最終的目標是整合SpringSecurity+Spring3MVC?完成類似于SpringSide3中mini-web的功能.?SpringSecurity是什么??引用SpringSecurity，這是一種基于SpringAOP和Servlet過濾器的安全框架。它提供全面的安全性解決方案，同時在Web請求級和方法調用級處理身份確認和授權。

入門這是支持OAuth2.0的用戶指南。對于OAuth1.0，一切都是不同的，所以看它的用戶指南。本用戶指南分為兩個部分，第一部分是OAuth2.0提供端（OAuth2.0 Provider），第二部分是OAuth2.0的客戶端（OAuth2.0 Client）OAuth2.0提供端OAuth2.0的提供端的用途是負責將受保護的資源暴露出去。配置包括建立一個可以訪問受保護的資源的客戶端代表。提供端是通過管理和驗證可用于訪問受保護的資源的OAuth2令牌來做的。在適當的地方，提供端也必須為用戶提供一個用于確認客戶端是否能夠訪問受保護的資源的接口（也就是一個頁面或是一個窗口）。在OAuth2提供者其實是分成授權服務和資源服務兩個角色的。

本規范的協議內容參照傳輸層安全協議（RFC4346 TLS1.1）。按照我國相關密碼政策和法規，結合我國實際應用需求及產品生產廠商的實踐經驗，在TLS1.1的握手協議中增加了ECC、IBC的認證模式和密鑰交換模式，取消了DH密鑰協商方式，修改了密碼套件的定義。另外，在本規范中還增加了網關-網關協議。本規范主要由密碼算法和密鑰種類、協議、產品要求、產品檢測及合格判定等章節組成。 本規范中未明確指明為可選要素的部分均為必備要素。