前言：

今天在QQ空间看到有人分享了“惊天魔盗团2”的电影资源

正好这几天被mongoose搞的有点烦，想看会电影放松一下心情，但是代码还是要写的，于是我想把电影下载下来，然后等bug解决了，再看。所以问题来了。

0×01 前言：

这个议题呢，主要是教大家一个思路，而不是把现成准备好的代码放给大家。

可能在大家眼中WAF（Web应用防火墙）就是“不要脸”的代名词。如果没有他，我们的“世界”可能会更加美好。但是事与愿违。没有它，你让各大网站怎么活。但是呢，我是站在你们的这一边的，所以，今天我们就来谈谈如何绕过WAF吧。之所以叫做“杂谈”，是因为我在本次演讲里，会涉及到webkit、nginx&apache等。下面正式开始：）

最后更新时间:2016/8/20 13:40:21

利用暗网进行浏览onion的流程：

大陆用户，首先需要代理VPN，或者使用“蓝灯（lantern）”。来进行从tor服务器那里获得tor节点，从而进行连接，不用嫌麻烦，多层代理总是好的，虽然在tor浏览器里可以直接使用“伪造其他网站的数据传输”来进行浏览，但是缺点是慢，且不安全。详细的用法可以看这篇文章http://www.chinagfw.org/2016/06/tor.html (需要VPN或者lantern访问)

最后更新时间:2016/8/15 22:40:48

UI美工：

WEB安全色 ： http://www.bootcss.com/p/websafecolors/

UI设计网 ： http://www.uisheji.com/

阿里巴巴矢量图标库：http://www.iconfont.cn/

前端开发(JavaScript And CSS)：

0x00 前言：

上一篇只是大致说明整个思路和流程。本篇就详细说说如何检测CSRF。为什么不在上一篇中放出插件呢。是因为误报率确实是比较多，而且无法检测Referer。而本章，重点就说明“如何检测对方是否开启了Referer检测机制”。在我的认知范围内，这是首款检测Referer的工具(不知廉耻的笑了)。今天发现腾讯在2013年就做了类似的产品 (这就尴尬了..)，不过还好。而且思路和实现方法有所区别。本章说检测Referer，第三章说检测token机制的强化,让检测token的成功率达到80~90%以上(其实就是写第二篇的时候，忘记写了。推到第三章了….)。而且这些是腾讯产品所没有的撒。

0x00 前言：

之前写过自动化检测XSS插件，今天来一发自动化检测CSRF的插件。CSRF有多种情况的出现方式，而本章所说的内容没有办法做的那么全面，就比如JSON Hijacking（第二章或者第三章会写），本章我们就说说form表单导致的CSRF漏洞。
检测form表单类型的CSRF漏洞和检测form表单类型的XSS漏洞最大的不同就是：XSS需要提交才能检测到，而CSRF只需要分析form表单就行了。

0×01 前言:

《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码，没有从基础的开始)，直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。

我这里就不说什么xss的历史什么东西了，xss是一门又热门又不太受重视的Web攻击手法，为什么会这样呢，原因有下：

1. 耗时间
2. 有一定几率不成功
3. 没有相应的软件来完成自动化攻击
4. 前期需要基本的html、js功底，后期需要扎实的html、js、actionscript2/3.0等语言的功底
5. 是一种被动的攻击手法
6. 对website有http-only、crossdomian.xml没有用

我从事互联网有六个年头了，这个算是我第一个Blog吧，之前一直以“没时间”的借口来安慰自己。现在想好好的总结这六年来的点点滴滴了。也为了以后可以更好的发布自己的见解、文章、工具等。

作者信息：

Author:Black-Hole

Blog:http://bugs.cc/

github:https://github.com/BlackHole1/

Twitter:https://twitter.com/Free_BlackHole

Email:158blackhole@gmail.com