双十一刚结束，阿里云就大面积故障，持续长达 3 个半小时。据阿里云公告，故障源于某个底层服务组件，影响地域涵盖了国内以及海外多个国家。“淘宝崩了”、“外卖崩了”、“闲鱼崩了”等迅速冲上热搜。大批依赖阿里云的设施随之崩溃：外卖派送停止、超市无法结账、停车场不抬杆。甚至洗衣机、直饮水机和充电桩等服务也停止运转。

理解xss shell是什么之前，让我们一起回顾一下一些基本的xss（跨站脚本），xss是最常见的一个漏洞，存在于今天许多的web应用程序。xss是攻击者试图通过web应用程序执行恶意脚本的技术，攻击者通过突破同源策略的web应用程序。 攻击者一旦能够找到一个存在xss漏洞的web应用程序，他可以利用这个漏洞执行不同类型的攻击其...

有这样一个场景——有个用户初访并登录了你的网站，然而第二天他又来了，却必须再次登录。于是就有了“记住我”这样的功能来方便用户使用，然而有一件不言自明的事情，那就是这种认证状态的”旷日持久“早已超出了用户原本所需要的使用范围。这意味着，他们可以关闭浏览器，然后再关闭电脑，下周或者下个月，乃至更久以后再回...

得益于HTML5，Web应用中越来越多的逻辑从服务器端迁移到了客户端。因而，前端开发人员也需要更多关注安全性方面的问题。在这篇文章中，我会告诉你如何使你的应用更加安全。我会着重描述一些你可能从未听说过的技术，而不是仅仅告诉你“别忘了对用户提交的页面数据做转义（escape）”。

本质上来说如果要进行xss攻击，只要找到一个未过滤的输入点。输入的数据在支持脚本的软件（不仅限于浏览器）里解析就可以了。sqli也是类似的道理。而输入点并不仅仅是网页里的表单，只要去发现，输入点无处不在。下面介绍一些抛砖引玉的想法，也欢迎大家分享自己的思路。