在 FIT2018 互联网创新大会上得知，最新的 OWASP top10 中，XXE 已上升至第三位，所有对 XXE 产生了强烈的兴趣。虽然之前也听说过 XXE，但是一直未深入了解。经多方资料查询，愈发感受到 XXE 攻击的强大。

以下是我这段时间对 XXE 学习的一点总结，比较浅显，仅供参考。

在内网渗透中，经常会在内网主机执行执行的渗透工具的时候出现执行不起来的情况，很多时候是由与安全软件做了白名单限制，只允许指定的白名单中的应用程序启动，这时我们就需要利用白名单中的程序做我们想做的事情，执行我们想要执行的程序，下面就给大家分享几个绕过白名单执行应用程序的姿势。

本文作者：兜哥 文章来源：兜哥带你学安全 欢迎大家分享自己的信安之路

2008 年，我是看着《我的华为十年》这篇文章进入这家公司的，当时我的总监就是这篇文章的作者家俊，文档地址：

http://www.doc88.com/p-968199032662.html

转眼云烟，第一份工作做到了现在。

本文作者： fatez3r0 已获得作者授权转载 本文博客地址：http://blog.fatezero.org/2018/03/05/web-scanner-crawler-01/

Web 漏扫的爬虫和其他的网络爬虫的技术挑战不太一样，漏扫的爬虫不仅仅需要爬取网页内容、分析链接信息， 还需要尽可能多的触发网页上的各种事件，以便获取更多的有效链接信息。 总而言之，Web 漏扫的爬虫需要不择手段的获取尽可能多新的链接信息。

在这篇博客文章中，我打算简单地介绍下和爬虫浏览器相关内容，爬虫基础篇倒不是说内容基础，而是这部分内容在漏扫爬虫中的地位是基础的。

学安全基础很重要，安全中有很多的特有的关键字，理解这些关键字至关重要，今天给大家分享一下我对于 webshell 的理解。

理解 webshell 是什么

理解 webshell 我们可以从字面上去理解，将其拆分成 web 和 shell 来分别进行理解，web 在百度百科的解释如下：