最近在使用rancher2.5.5部署Redis主从复制的时候，发现rancher会产生很多iptables的规则，这些规则导致我们在部署了rancher的机器上无法使用Redis的主从复制功能，因为我对rancher和k8s的了解也仅限于了解网络架构和使用，对底层并不深入，短期内无法解决这个网络冲突的问题；

想起了k8s微服务的成熟方案，不仅可以自动重启还可以监控容器运行状态，也可以集成自动化部署，于是找了一些资料将之前接触过的rancher用了起来，首先要做的就是简化安装方式，下面是我的一些过程，同时也可以给大家提供参考。

W13scan 是基于Python3的一款开源的Web漏洞发现工具,它支持主动扫描模式和被动扫描模式，能运行在Windows、Linux、Mac上。

这几天一直在研究W13Scan漏洞扫描器，因为对Python不是太熟悉，所以进度有点慢，一直没看懂怎么将代理请求的数据转发到扫描队列中去，决定先熟悉熟悉这个功能再说；Rad爬虫最近比较火，于是就是就选择它了

这段时间总想捣鼓扫描器，发现自己的一些想法很多前辈已经做了东西，让我有点小沮丧同时也有点小兴奋，说明思路是对的，我准备站在巨人的肩膀去二次开发，加入一些自己的想法，从freebuf中看到W13Scan扫描器，觉得这个扫描器很酷，准备深入研究。

笔者之前给一些开发团队多次做Web安全开发培训，为了让培训的学员能够理解XSS原理和XSS的危害，将xssPlatform进行了更新，之前一直放在GitHub中；发现关注的人越来越多，很多人在安装的过程中遇到问题不知道怎么处理，为了简化安装步骤，笔者将xssPlatform封装到了docker镜像当中，同时编写了一套安装文档，希望到时候给...

搭建流媒体服务的方式一般会采用nginx+rtmp和srs服务两种，前者是nginx加上插件所用，而后者是专门为了为了流媒体而生，在这一节中我们将从头搭建srs流媒体服务

一、背景 本篇文章是继上一篇文章《Ubuntu中使用Nginx+rtmp模块搭建流媒体视频点播服务》文章而写，在上一篇文章中我们搭建了一个点播服务器，在此基础上我们再搭建一个直播服务器， 二、配置rtmp直播服务 我们需要在nginx配置文件中增加直播的配置，这里我们依然使用vim命令打开配置文件，执行命令如下 {代码...} vim命...

前段时间把Mac系统重装了，PHP的一些扩展都没了，昨天需要调试一个swoole开发的项目，发现命令行中的PHP是系统自带的，如果安装swoole扩展很不方便；需要自己手动去下载swoole的源码，然后去编译swoole的源码，并自己配置，整个过程非常繁琐；

PermissionGroup可以对permission进行一个逻辑上的分组。如果PermissionGroup的属性为空，会导致权限定义无效，且其他app无法使用该权限。

不定时会做一些内训，会经常用到实验坏境；一开始搭建了一个docker容器，但考虑到不是所有学员都会使用docker，因此做了一个虚拟机版本，其实就是虚拟机里面安装了docker，为了方便大家迅速搭建坏境，总结了此文档给需要的学员；

XSS Platform 是一个非常经典的XSS渗透测试管理系统，原作者在2011年所开发，由于后来长时间没有人维护，导致目前在PHP7环境下无法运行。

笔者最近在做一场Web安全培训，其中需要搭建一套安全测试环境；在挑选渗透测试系统的时候发现permeate渗透测试系统比较满足需求，便选择了此系统；为了简化这个步骤，笔者将系统直接封装到了docker当中，同时编写了一套启动文档，希望到时候给学员和读者参考。

团队最近频繁遭受网络攻击，引起了技术负责人的重视，笔者在团队中相对来说更懂安全，因此花了点时间编辑了一份安全开发自检清单，觉得应该也有不少读者有需要，所以将其分享出来。

公司上市不到两周，便遭受到了黑客攻击，其中笔者团队的验证码比较容易识别，攻击者通过ORC识别刷了10几万的短信，除了造成一笔资金开销外，也给服务器带来了很大的压力；

笔者最近想起此前公司使用过的堡垒机系统，觉得用的很方便，而现在的公司并没有搭建此类系统，想着以后说不定可以用上；而且最近也有点时间，因此来了搭建堡垒机系统的兴趣，在搭建过程中参考了比较多的文档，其中最详细的还是官方文档，地址如下所示：

笔者想将自己收藏的一些电影放到网站上可以用来随时播放，不过遇到了一个问题，便是如果直接将MP4文件放放到网站目录当中，手机端必须下载整个视频才可以播放，而如果跨外网传输，这实在是不太现实。

笔者此前录制了一套XSS的视频教程，在漏洞案例一节中讲解手工挖掘、工具挖掘、代码审计三部分内容,准备将内容用文章的形式再次写一此,前两篇已经写完，内容有一些关联性，其中手工XSS挖掘篇地址为快速找出网站中可能存在的XSS漏洞实践(一)https://segmentfault.com/a/1190000016095198

笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例，在漏洞挖掘案例中分为了手工挖掘、工具挖掘、代码审计三部分内容,手工挖掘篇参考地址为快速找出网站中可能存在的XSS漏洞实践(一)https://segmentfault.com/a/1190000016095198

笔者在上一篇文章使用Docker快速部署ELK分析Nginx日志实践当中有提到如何快速搭建ELK分析Nginx日志，但是这只是第一步，后面还有很多仪表盘需要配置，而对于大部分人来说，英文并不是那么好，但Kibana都是英文界面，这就阻碍了笔者熟悉Kibana的一些操作；

笔者最近折腾docker服务比较多，这几天想把在内网中的服务搬到公网当中，但docker对内存要求较高，而云服务高内存的服务器又比较贵，家里虽然有一台旧笔记本内存还可以，但是没有公网IP地址，视乎还是没有办法，就在纠结的时候想起FRP这个内网穿透软件，重新回顾了一下搭建方法，发现搭建步骤较为简单，为了以后有所参考...

项目即将上线，想通过一些工具来分析代码的稳定性和效率，想起在上个团队时使用过的xhprof扩展；因为换了新电脑，所以需要重新编译此扩展，现将安装与实际排查过程完整记录下来，方便自己回顾和帮助更多的读者。

笔者最近在慕课录制了一套XSS跨站漏洞 加强Web安全视频教程，课程当中有讲到XSS的挖掘方式，所以在录制课程之前需要做大量实践案例，最近视频已经录制完成，准备将这些XSS漏洞的挖掘过程记录下来，方便自己也方便他人。

同时也是分享一下我平时挖掘漏洞的一些思路吧,这篇文章里虽然只简单介绍其中三种漏洞类型，但也是想是一个抛转引玉吧,给web安全新手提供一些挖掘思路.

一、背景 为什么会用到这个ES搜索？是因为我在看乌云的漏洞案例库时候，搜索即为不方便。 比如说说我要搜索一个 SQL注入 那mysql匹配的时候是like模糊匹配，搜索必须要有SQL注入这四个字，连续的才能查找到那这样会不太方便。 然后我就想着做一个分词，搜索起来会方便不少，第一个想到的就是ES搜索了。 怎么去用ES呢？ ...