经常看到一些SRC和CNVD上厉害的大佬提交了很多的漏洞，一直好奇它们怎么能挖到这么多漏洞，开始还以为它们不上班除了睡觉就挖漏洞，后来有机会认识了一些大佬，发现它们大部分漏洞其实是通过工具挖掘的，比如说下面是CNVD上面的白帽子大佬

汤青松 ，北京趣加科技有限公司 安全工程师，实体书《PHP WEB安全开发实战》作者，擅长企业安全建设，SDL安全建设。PHPCon 2020 第八届 PHP 开发者大会分享《PHP安全编码规范与审查》，NSC 2019第七届中国网络安全大会分享《PHP反序列化漏洞分析实践》看雪2018 安全开发者峰会担任Web安全训练营 讲师

QingScan是一个漏洞扫描聚合平台,添加目标后30款工具自动调用；不少人也想自己添加工具进来，其实添加非常简单，我们已经帮你考虑好了，你不用写代码只需要在界面操作就可以完成。

之前一直使用jetbrains公司的编辑器，正好发现C语言可以用CLion，但是发现不会使用他的调试功能，有些时候为了调试代码，还需要将代码复制到 Visual Studio 2019编辑器中；后来觉得太麻烦了，摸索了一段时间终于找到了CLion的调试方法，将方法记录下来给需要的同学吧。

前段时间在做代码审计，发现很多项目都存在安全隐患，大多数是来自于参数未过滤所造成的；为了解决这个问题，我将Web安全开发规范手册V1.0进行了培训，但是效果并不是太理想，原因是培训后开发者的关注点主要在功能完成度上，安全编码对于他们来说并不是核心指标；

分享之前我想先简单介绍一下我们公司，趣加是一家游戏公司，主要了是面向海外市场，所以有很多同学了可能没有听过我们公司；但喜欢玩游戏的同学可能听过一个战队，就做fpx那其实就是我们公司的一个战队。

W13scan 是基于Python3的一款开源的Web漏洞发现工具,它支持主动扫描模式和被动扫描模式，能运行在Windows、Linux、Mac上。

这几天一直在研究W13Scan漏洞扫描器，因为对Python不是太熟悉，所以进度有点慢，一直没看懂怎么将代理请求的数据转发到扫描队列中去，决定先熟悉熟悉这个功能再说；Rad爬虫最近比较火，于是就是就选择它了

这段时间总想捣鼓扫描器，发现自己的一些想法很多前辈已经做了东西，让我有点小沮丧同时也有点小兴奋，说明思路是对的，我准备站在巨人的肩膀去二次开发，加入一些自己的想法，从freebuf中看到W13Scan扫描器，觉得这个扫描器很酷，准备深入研究。

笔者之前给一些开发团队多次做Web安全开发培训，为了让培训的学员能够理解XSS原理和XSS的危害，将xssPlatform进行了更新，之前一直放在GitHub中；发现关注的人越来越多，很多人在安装的过程中遇到问题不知道怎么处理，为了简化安装步骤，笔者将xssPlatform封装到了docker镜像当中，同时编写了一套安装文档，希望到时候给...

搭建流媒体服务的方式一般会采用nginx+rtmp和srs服务两种，前者是nginx加上插件所用，而后者是专门为了为了流媒体而生，在这一节中我们将从头搭建srs流媒体服务

一、背景 本篇文章是继上一篇文章《Ubuntu中使用Nginx+rtmp模块搭建流媒体视频点播服务》文章而写，在上一篇文章中我们搭建了一个点播服务器，在此基础上我们再搭建一个直播服务器， 二、配置rtmp直播服务 我们需要在nginx配置文件中增加直播的配置，这里我们依然使用vim命令打开配置文件，执行命令如下 {代码...} vim命...

前段时间把Mac系统重装了，PHP的一些扩展都没了，昨天需要调试一个swoole开发的项目，发现命令行中的PHP是系统自带的，如果安装swoole扩展很不方便；需要自己手动去下载swoole的源码，然后去编译swoole的源码，并自己配置，整个过程非常繁琐；

不定时会做一些内训，会经常用到实验坏境；一开始搭建了一个docker容器，但考虑到不是所有学员都会使用docker，因此做了一个虚拟机版本，其实就是虚拟机里面安装了docker，为了方便大家迅速搭建坏境，总结了此文档给需要的学员；

笔者最近在做一场Web安全培训，其中需要搭建一套安全测试环境；在挑选渗透测试系统的时候发现permeate渗透测试系统比较满足需求，便选择了此系统；为了简化这个步骤，笔者将系统直接封装到了docker当中，同时编写了一套启动文档，希望到时候给学员和读者参考。

团队最近频繁遭受网络攻击，引起了技术负责人的重视，笔者在团队中相对来说更懂安全，因此花了点时间编辑了一份安全开发自检清单，觉得应该也有不少读者有需要，所以将其分享出来。

公司上市不到两周，便遭受到了黑客攻击，其中笔者团队的验证码比较容易识别，攻击者通过ORC识别刷了10几万的短信，除了造成一笔资金开销外，也给服务器带来了很大的压力；

笔者最近想起此前公司使用过的堡垒机系统，觉得用的很方便，而现在的公司并没有搭建此类系统，想着以后说不定可以用上；而且最近也有点时间，因此来了搭建堡垒机系统的兴趣，在搭建过程中参考了比较多的文档，其中最详细的还是官方文档，地址如下所示：