MiscSecNotes

此系列文章是本人关于学习 Web/Cloud/Docker 安全、渗透测试、安全建设等时记录的一些笔记，部分原创，部分是对网上文章的理解整理。如果可以找到原始参考链接时则会在文末贴出（如 乌云很多链接已失效，或者记不起当时存档时的链接），或者在文章开头写上 by xx，如有侵权请联系我（dameng34 at 163.com）删除或加上reference，感谢在网上共享知识的师傅们。

捐赠链接

如果觉得以下内容对您有一定帮助，不妨小额赞助我，以鼓励我更好地完善内容列表。
                                                          

文章目录

Web 安全

• Web服务基础

  • HTTP协议
  • 同源策略
  • 前端基础
  • JS 跨域
  • 后端基础
  • 常见函数
  • nginx安全配置
  • apache安全配置
  • htaccess文件利用

• 跨站脚本

  • 解码顺序
  • 反射XSS
  • DOMXSS
  • 存储XSS

• 跨站请求伪造

  • CSRF

• SQL 注入

  • MYSQL注入
  • sqlmap tips
  • sqlmap 进阶

• Flash安全

  • Flash xss
  • Flash csrf

• PHP安全

  • php filter
  • php open_basedir
  • php 安全编码
  • php 弱类型问题
  • php 代码审计入门
  • php 高级代码审计
  • php 框架审计
  • php 版本特点
  • php 防getshell思路
  • php 变形shell检测
  • php rasp实现

• URL跳转

  • url跳转

• XML注入

  • XXE漏洞

• 点击劫持

  • clickjacking

• 服务端请求伪造

  • SSRF 基础
  • SSRF 利用

• 逻辑漏洞

  • 业务安全
  • 支付安全

• 命令执行

  • 命令执行

• 文件包含

  • 文件包含

• 文件解析

  • 文件解析

• 文件上传

  • 文件上传

• 信息泄露

  • 信息泄露

• Bypass WAF

  • bypass cdn find ip
  • bypass sqli
  • bypass xss
  • bypass waf（四个层次）
  • bypass waf Cookbook
  • waf 之SQL注入防御思路分享

• 工具与思路

  • 漏洞检测思路
  • 漏洞挖掘与工具
  • 子域名爆破
  • 暴力破解

• 协议相关

  • IPv6协议相关
  • IPv6协议安全

• 漏洞修复

  • 漏洞修复指南

渗透测试

• Linux渗透

  • Linux执行命令监控
  • Linux 入侵检测
  • Linux 提权
  • Rootkit 综合教程

• 端口转发

  • 代理知识
  • 渗透测试之代理
  • 内网端口转发及穿透

• Windows渗透

  • Windows 入侵检测
  • Windows 渗透测试

安全建设

• 安全建设
  • Google基础设施安全设计概述翻译和导读
  • 中小企业网络安全建设指引
  • 大型互联网企业安全实践
  • 从Google白皮书看企业安全最佳实践
  • 安全产品的自我修养
  • 产品经理眼中比较理想的WEB扫描器
  • 产品经理眼中未来两年的完美WAF
  • 如何建立有效的安全策略
  • 大型网络入侵体系建设
  • 非即时反馈策略和随机噪音在业务安全中的应用
  • 初探 下一代网络隔离和访问限制
  • 互联网企业安全之端口扫描监控
  • 谷歌的零信任安全架构实践
  • 互联网企业如何建设数据安全体系
  • 我理解的安全运营

docker 安全

• Docker安全
  • docker安全杂谈
  • 从自身漏洞和架构缺陷，谈docker安全建设
  • 关于docker的几点安全解析
  • 绝不避谈docker安全
  • 浅谈docker安全合规建设
  • 如何打造安全的容器云平台

云计算安全

• 云计算安全
  • 经典网络与VPC
  • 浅析云计算环境下的安全风险
  • 云安全审计（评估）
  • 从云消费者的角度谈云安全架构