BurpSuite是一个免费的网站攻击工具。它包括proxy、spider、intruder、repeater四项功能。

WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序，这些漏洞并非程序中的bug，而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境，为用户完成课程提供了有关的线索。

本文描述了基于IP骨干网的VPN框架体系，讨论了不同类型的VPN以及它们具体的要求，提出了用当前的规范去实现这些VPN的机制。本文的目标是，为开发交互VPN解决方案的全范围规范集提供相关协议开发的框架。

Shiro是Apache的顶级项目、是开源的安全框架。用于控制身份认证、单点登录、及控制同一用户Session的数量。目前很多项目都采用Shiro框架。Shiro与Spring security相同都是安全框架，但相比与spring security具有配置简单的特点。比较容易上手。

Struts2、Spring、Hibernate三大框架一直以来是公司热衷使用的框架。现将三大框架整合全部过程做成文档，供小伙伴们参考。希望对正在学习这三个框架的学生有所帮助。

HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲就是HTTP的安全版。 HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，它比http协议安全，是目前广泛用于互联网上进行安全通讯的一种技术。

一XSS简介什么是XSSXSS全程（CrossSiteScripting）跨站脚本攻击，是最常见的Web应用程序安全漏洞之一，位于OWASPtop102013年度第三名XSS是指攻击者在网页中嵌入客户端脚本，通常是JavaScript编写的危险代码，当用户使用浏览器浏览网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的从上面中的一段话，可以得知，XSS属于客户端攻击，受害者最终是用户，但特别要注意的是网站管理人员也属于用户之一。这就意味着XSS可以进行“服务端”攻击，因为管理员要比普通用户的权限大得多，一般管理员都可以对网站进行文件管理，数据管理等操作，而攻击者一般也是靠管理员身份作为“跳板”进行实施攻击。XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码，最常用的攻击代码是javascript语言，但也会使用其它的脚本语言，例如：ActionScript、VBscript。而如今的互联网客户端脚本基本是基于Javascript,所以如果想要深入研究XSS，必须要精通Javascript。XSS换句话说，JavaScript能做到什么效果，XSS的胃里就有多大。这完全不是危言耸听。javascript可以用来获取用户的cookie，弹出窗口，那么存在XSS漏洞的网站，XSS就可以用来盗取用户Cookie,废掉页面，导航到恶意网站！更高端的XSS代码完全可以进行监控你的键盘操作，模仿Windows注销界面，诱导你输入开机密码！而攻击者需要做的仅仅是向你的代码中注入Javascript代码！如何挖掘XSS寻找脚本程序的输出显示代码，搜索关键字，显示输出那个变量，跟踪变量是否被过滤。二XSS的类型（一）反射型XSS或不持久型XSS实例1测试结果在这段代码中程序接受name的值，并且输出，如果提交xss.php?name=HIM,那么程序讲输出HIM，如果恶意用户输入username=<script>XSS恶意代码</script>,因为程序并没有进行XSS代码过滤，最终造成反射型XSS漏洞实例2https://public-firing-range.appspot.com/源代碼<script>alert("XSS")</script>实例3</title><svg%20onload=alert("XSS")>（二）储存型XSS或持久型XSS实例1与反射型XSS相比，唯一的区别就是XSS代码被带入数据，在下次浏览时，又被读取出来使用DVWAmysql-uroot–prootshowdatabasesusedvwashowtablesselect*fromguestbookdeletefromguestbook<script>alert(/xss/)</script>实例2<scripttype="text/javascript">window.location='http://www.baidu.com';</script>（三）DOMXSS实例1实验如下实例2<svgonload=alert("0")>（四）变异XSShttp://www.thespanner.co.uk/2014/05/06/mxss/变异XSS是从安全范围引导入不安全的为过滤范围。大多数的常见的变异XSS结构是源于错误的阅读innerHTML之间的代码。一个好的变异XSS例子是使用listing元素使XSS条件满足<listing>&lt;imgsrc=1onerror=alert(1)&gt;listing>当linsting的innerHTML之间被读，它转变进入一个image元素，即使原始的HTML被避开。下面的代码例子显示出实际是如何被解析的。<listingid=x>&lt;imgsrc=1onerror=alert(1)&gt;listing><script>alert(document.getElementById('x').innerHTML)script>alert的预期的结果是将输出“&lt;imgsrc=1onerror=alert(1)&gt;”然后IE10实际解析返回的结果是“<imgsrc=1onerror=alert(1)>”。引导者从安全范围引导入不安全的为过滤范围。变异XSS影响数据多次被读，第一层是真是的HTML，而且每次读innerHTML之间是被看作其它变异，取决于它变异的次数。http://www.businessinfo.co.uk/labs/mxss/通过使用mxsstool可以轻松知道矢量变异和执行。因为变异XSS影响多个等级，根据下面的HTML将完美有效的，如果你改变等级到2。这读写HTML两次，你当然能增加变异值和无线编译。<listing>&amp;lt;imgsrc=1onerror=alert(

代码执行漏洞(Code Execution)：系统提供代码执行类函数主要方便处理各类数据.而当不合理的使用这类函数，同时调用的变量未考虑安全因素，就会执行恶意的代码，被攻击利用。

ApacheShiro是功能强大并且容易集成的开源权限框架，它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心，简单来说，认证就是证明你是谁？Web应用程序一般做法通过表单提交用户名...  ApacheShiro是功能强大并且容易集成的开源权限框架，它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心，简单来说，“认证”就是证明你是谁？Web应用程序一般做法通过表单提交用户名及密码达到认证目的

本部分主要讲解Shiro快速入门。 Shiro简介安全框架与springsecurity的比较。2：快速ShiroWeb示例1：目的快速入门，省去那些无用的介绍。待学会基本的配置与使用后再行详解。2：web示例快速入门通过使用ini配置web快速入门，可以快速的掌握shiro的使用。免去学习大篇的理论知识。等待，学会配置和基本使用以后，再去学习理论知识。即先学会用，再去深入研究的学习思路。步1：创建web项目
步2：导入shiro的包以下是主要导入的包及依赖关系：
以下是最少需要的包：
说明：Beanutils是shiro在设置组件关系时使用的依赖包。

1.检测指标：密码安全：描述：判断密码是不是容易被盗取操作：可以通过浏览器查看是否加密，并将加密作为独立请求进行测试验。此外晓风后台的登陆没有手机验证码进行验证功能，我们目前系统增加了这块验证使得系统登陆更加安全。SQL注入检测描述：检测Web网站是否存在SQL注入漏洞，如果存在该漏洞，攻击者对注入点进行注入攻击，可轻易获得网站的后台管理权限，甚至网站服务器的管理权限。

SQLInjection(SQL注入)严重性非常高概述就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。原理它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句例子程序从Http请求中读取一个sql查询。

实例本例所覆盖的内容：使用SpringSecurity管理用户身份认证、登录退出用户密码加密及验证采用数据库的方式实现SpringSecurity的remember-me功能获取登录用户信息。

下面我们将实现关于SpringSecurity3的一系列教程. 最终的目标是整合SpringSecurity+Spring3MVC 完成类似于SpringSide3中mini-web的功能. SpringSecurity是什么? 引用SpringSecurity，这是一种基于SpringAOP和Servlet过滤器的安全框架。它提供全面的安全性解决方案，同时在Web请求级和方法调用级处理身份确认和授权。

入门这是支持OAuth2.0的用户指南。对于OAuth1.0，一切都是不同的，所以看它的用户指南。本用户指南分为两个部分，第一部分是OAuth2.0提供端（OAuth2.0 Provider），第二部分是OAuth2.0的客户端（OAuth2.0 Client）OAuth2.0提供端OAuth2.0的提供端的用途是负责将受保护的资源暴露出去。配置包括建立一个可以访问受保护的资源的客户端代表。提供端是通过管理和验证可用于访问受保护的资源的OAuth2令牌来做的。在适当的地方，提供端也必须为用户提供一个用于确认客户端是否能够访问受保护的资源的接口（也就是一个页面或是一个窗口）。在OAuth2提供者其实是分成授权服务和资源服务两个角色的。

本规范的协议内容参照传输层安全协议（RFC4346 TLS1.1）。按照我国相关密码政策和法规，结合我国实际应用需求及产品生产厂商的实践经验，在TLS1.1的握手协议中增加了ECC、IBC的认证模式和密钥交换模式，取消了DH密钥协商方式，修改了密码套件的定义。另外，在本规范中还增加了网关-网关协议。本规范主要由密码算法和密钥种类、协议、产品要求、产品检测及合格判定等章节组成。 本规范中未明确指明为可选要素的部分均为必备要素。