摘要：道哥的《白帽子讲web安全》有一章提到Padding Oracle Attack的攻击方式，据说这货在2011年的Pwnie Rewards上还被评为"最具价值的服务器漏洞"。抱着书看了半天，感觉也不是很理解，和密码学结合的比较紧，有一些理论的东西在里面。这里做个学习笔记，研究一下。1. 相关阅读材料https://github.com/GDSSecurity/PadBuster PadBuster - Automated script for performing Padding Oracle attackshttp://hi.baidu.com/aullik5/item 阅读全文

摘要：How to Prevent Cross-Site Scripting AttacksReference From: http://resources.infosecinstitute.com/how-to-prevent-cross-site-scripting-attacks/Translated By: LittleHann 1. 简介跨站点脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为. 阅读全文

摘要：Busting Frame BustingReference From: http://seclab.stanford.edu/websec/framebusting/framebust.pdfTranslated By: LittleHann1. 摘要基于Web Frame的攻击例如: ClickJacking，一般使用iframes去劫持用户的web session。目前最普遍的防御手段被称之为frame busting，即阻止当页面加载一个frame的时候对当前页面产生影响。2. 介绍Frame busting依靠防御代码来防止页面加载一个嵌套的frame，它是防御ClickJackin 阅读全文

摘要：断断续续的总算的把android开发和逆向的这两本书看完了，虽然没有java，和android开发的基础，但总体感觉起来还是比较能接收的，毕竟都是触类旁通的。当然要深入的话还需要对这门语言的细节特性和奇技淫巧进行挖掘。这里推荐2本书，个人觉得对android开发入门和android逆向入门比较好的教材：《google android 开发入门与实战》《android 软件安全与逆向分析》1. 我对android逆向的认识因为之前有一些windows逆向的基础，在看android逆向的时候感觉很多东西都是能共通的。但因为android程序本身的特性，还是有很多不同的地方。1.1 反编译andro 阅读全文

摘要：choop.php一句话脚本 阅读全文