0x01 Tornado

Tornado是一个用Python写的相对简单的、不设障碍的Web服务器架构,用以处理上万的同时的连接口,让实时的Web服务通畅起来。
1、完整的用以构建网站的基础模块。
Tornado包含内置的用以解决网络开发最难和最烦的功能模块，包括模板、signed cookies、用户认证、地方化（localization）、aggressive static file caching, cross-site request forgery protection，以及类似Facebook Connect的第三方认证。开发者可以随取所需，并且自由组合，甚至把Tornado与其他架构组合。

0x00 MetInfo

MetInfo采用PHP+Mysql架构,是一款对SEO非常友好、功能全面、安全稳定、支持多终端展示并且使用起来极其简单的企业建站系统。

0x01 命令执行 文件包含

命令执行：应用有时需要调用一些执行系统命令的函数，如PHP中的system、exec、shell_exec、
passthru、popen、proc_popen等，当用户能控制这些函数中的参数时，就可以将恶意系统命令
拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞。

0x01 w3af

w3af是一个完整的web应用攻击和漏洞分析环境。该环境为web漏洞的分析和测试提供了一个课信赖的平台。
w3af是一个Web应用程序攻击和检查框架，该项目已超过130个插件，其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等

0x01 渗透测试

渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。可以对一些网站等进行安全风险评估，以便提高其安全性。
测试人员在不同的位置（比如从内网、从外网等位置）利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。

0x01、前言

最近发现了一个挺好玩的XSS练习平台，大家可以没事了玩一玩。至于相关知识，已经在以前的博客上介绍过，大家对于基础可去看看。练习平台、基础知识，好了，不多说，我们开撸

0x01、SSRF

服务器端请求伪造，也称XSPA(跨站端口攻击)，它是由攻击者构造形成由服务端发起请求的一个安全漏洞。
原因：大部分都是由于服务器端提供了从其他服务器应用获取数据的功能且没有对目标地址进行过滤与限制。比如指定的URL获取网页文本内容，加载指定地址图片，下载等等，这个功能如果被恶意使用，可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。