前段时间把Mac系统重装了，PHP的一些扩展都没了，昨天需要调试一个swoole开发的项目，发现命令行中的PHP是系统自带的，如果安装swoole扩展很不方便；需要自己手动去下载swoole的源码，然后去编译swoole的源码，并自己配置，整个过程非常繁琐；

不定时会做一些内训，会经常用到实验坏境；一开始搭建了一个docker容器，但考虑到不是所有学员都会使用docker，因此做了一个虚拟机版本，其实就是虚拟机里面安装了docker，为了方便大家迅速搭建坏境，总结了此文档给需要的学员；

XSS Platform 是一个非常经典的XSS渗透测试管理系统，原作者在2011年所开发，由于后来长时间没有人维护，导致目前在PHP7环境下无法运行。

笔者最近在做一场Web安全培训，其中需要搭建一套安全测试环境；在挑选渗透测试系统的时候发现permeate渗透测试系统比较满足需求，便选择了此系统；为了简化这个步骤，笔者将系统直接封装到了docker当中，同时编写了一套启动文档，希望到时候给学员和读者参考。

团队最近频繁遭受网络攻击，引起了技术负责人的重视，笔者在团队中相对来说更懂安全，因此花了点时间编辑了一份安全开发自检清单，觉得应该也有不少读者有需要，所以将其分享出来。

笔者最近想起此前公司使用过的堡垒机系统，觉得用的很方便，而现在的公司并没有搭建此类系统，想着以后说不定可以用上；而且最近也有点时间，因此来了搭建堡垒机系统的兴趣，在搭建过程中参考了比较多的文档，其中最详细的还是官方文档，地址如下所示：

笔者想将自己收藏的一些电影放到网站上可以用来随时播放，不过遇到了一个问题，便是如果直接将MP4文件放放到网站目录当中，手机端必须下载整个视频才可以播放，而如果跨外网传输，这实在是不太现实。

笔者此前录制了一套XSS的视频教程，在漏洞案例一节中讲解手工挖掘、工具挖掘、代码审计三部分内容,准备将内容用文章的形式再次写一此,前两篇已经写完，内容有一些关联性，其中手工XSS挖掘篇地址为快速找出网站中可能存在的XSS漏洞实践(一)https://segmentfault.com/a/1190000016095198

笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例，在漏洞挖掘案例中分为了手工挖掘、工具挖掘、代码审计三部分内容,手工挖掘篇参考地址为快速找出网站中可能存在的XSS漏洞实践(一)https://segmentfault.com/a/1190000016095198

笔者最近折腾docker服务比较多，这几天想把在内网中的服务搬到公网当中，但docker对内存要求较高，而云服务高内存的服务器又比较贵，家里虽然有一台旧笔记本内存还可以，但是没有公网IP地址，视乎还是没有办法，就在纠结的时候想起FRP这个内网穿透软件，重新回顾了一下搭建方法，发现搭建步骤较为简单，为了以后有所参考...

项目即将上线，想通过一些工具来分析代码的稳定性和效率，想起在上个团队时使用过的xhprof扩展；因为换了新电脑，所以需要重新编译此扩展，现将安装与实际排查过程完整记录下来，方便自己回顾和帮助更多的读者。

笔者最近在慕课录制了一套XSS跨站漏洞 加强Web安全视频教程，课程当中有讲到XSS的挖掘方式，所以在录制课程之前需要做大量实践案例，最近视频已经录制完成，准备将这些XSS漏洞的挖掘过程记录下来，方便自己也方便他人。

同时也是分享一下我平时挖掘漏洞的一些思路吧,这篇文章里虽然只简单介绍其中三种漏洞类型，但也是想是一个抛转引玉吧,给web安全新手提供一些挖掘思路.

一、背景 为什么会用到这个ES搜索？是因为我在看乌云的漏洞案例库时候，搜索即为不方便。 比如说说我要搜索一个 SQL注入 那mysql匹配的时候是like模糊匹配，搜索必须要有SQL注入这四个字，连续的才能查找到那这样会不太方便。 然后我就想着做一个分词，搜索起来会方便不少，第一个想到的就是ES搜索了。 怎么去用ES呢？ ...