说在前面

我是一个地地道道的程序员，主语言Java，Python和C#会一点儿，Hack和算法也会一点儿。

Hack方面就一“脚本小子”，简单入门。但是这很困扰我，很多朋友同事会问我：

其实鄙人不善于这些高深的东西，o(∩_∩)o 哈哈！

时常也有人找我给他分享一些黑客常逛的网站，很尴尬，鄙人才疏学浅，只懂皮毛，这里也就只能简单分享一下我常去的几个小网站了。

首先给大家一个入口：http://www.hac-ker.com/

有个好玩儿的黑页排行榜：

干货分享

我就花了几十分钟，直接做一个简陋的PPT了：

PPT上附有具体链接地址，感兴趣的可移步：https://download.csdn.net/download/localhost01/10819738

以前觉得，像我这样子的半吊子黑客，对我的程序员生涯没有太大帮助。但是现在不再这样认为。

JDK7的AnnotationInvocationHandler存在反序列化漏洞，存在不安全环境的序列化对象传输、RMI协议、netty框架的场景下，会优先考虑使用JDK8；
大家都知道的，写代码多用防SQL注入的PrepredStatment；
防止XSS，服务器进行校验和HTML转义，必须是服务器端！如果是客户端来做的话，你得小心Burpsuit、Fiddler这些东西~
科学上网，程序员必备，要钱的肯定不行。那就自己用Hack实力去搞个VPN服务器或者科学上网提供商吧！
朋友亲戚某些活动需要大量点赞？人家网站限制了一个IP只能点赞一次？没问题，只要网站不是太大、太牛逼，分分钟让她冲到第一去！怎么做？写个Python脚本跑啊、Selenium自动化去整啊、大量代理IP啊、操纵你的肉鸡啊……
时常关注安全漏洞的你还会发现：最近披露了jQuery-File-Upload 9.22.0任意文件上传漏洞（CVE-2018-9206），导致使用了该插件相关版本的网站可能被人直接秒秒钟拿站。你会告诉你的员工或上级：我们网站似乎使用这个插件，请升级到最新版吧！
你所在的中小型公司时常被人进行DDOS？恶意刷你的短信、邮件接口？黑进你的服务器？只要你能力可以，就可以进行及时补救甚至提前预防！
装逼！！！
其他若干……

之前遇到过一个问题，需要在客户服务器进行远程桌面，定位BUG。但客户属于国家机密机构，较注重安全，因此只对外开放了Web服务的80端口，且不允许搭建专用VPN。说白了，只允许通过80端口 -> 进行远程桌面 -> 定位并解决问题。

要是放在以前，直接就破口大骂：屌JB程序，劳资不敲了！ 开个玩笑哈，但是的确这个感觉完全没头绪。但是借由黑客知识，我们知道可以通过穿透工具（我叫它WebShell隧道\^_\^）来做这个事情。

WebShell隧道正是黑客们常用来通过已打开的仅有的端口（如常见的80、443）来间接打开其他端口，常用于内网渗透！

常用的WebShell隧道工具有：reGeorg、reDuh、ABPTTS、Tunna、HttpTunna。

我简单划了一下各个工具的优缺点：

好，说到这儿就结尾了，谢谢大家的阅读！

更多文章，请关注：开猿笔记