Sql注入测试一定要使用工具。原因一：工作效率；原因二：人工很难构造出覆盖面广的盲注入的sql语句。例如当一个查询的where字句包含了多个参数，or and的关系比较多时，简单的or 1=1, and 1=2是很难发现注入点的。Sql注入的工具很多(Top 15 free SQLInjection Scanners)，我最近使用的有Sqlmap，SqliX，JbroFuzz，Sq

Xpath注入攻击及其防御技术研究陆培军（南通大学 计算机科学与技术学院，江苏 南通226019）    摘 要　XML技术被广泛使用，XML数据的安全性越来越重要。本文简要介绍了XPath注入攻击XML数据的原理。在前人提出的防御通用方法的基础上，提出一个XPath 注入攻击通用检验模型，模型具有普遍意义。    关键词　XPath注入攻击； 防御技术； 模型1　Xp

WebGoat是一个用来演示Web应用程序中的典型安全漏洞的应用程序，旨在在应用程序安全审计的上下文中系统、条理地讲解如何测试和利用这些安全漏洞。WebGoat是用Java语言写成的，因此可以安装到所有带有Java虚拟机的平台之上。此外，它还分别为Linux、OSX Tiger和Windows系统提供了安装程序。部署该程序后，用户就可以进入课程了，该程序会自动通过记分卡来跟踪用户的进展。当前

Eclipse中设定Java虚拟机内存在使用Eclipse的过程中，有时会遇到使用Java虚拟机内存不够的情况，这时Eclipse就会提示你重启，对于大型开发，应修改 VM 自变量以使有更多的堆可用。对应在Eclipse中的设置为:窗口->首选项->JAVA->已安装的JRE（window-preferences-java-installed JRE）在缺省的VM自变量中增加:-X

网路游侠：免费网络和主机漏洞评估程序Nessus 4.2.0安装试用来源：http://www.youxia.org/2009/12/Nessus-4.2.0.html 　看到Nessus发布了最新版本：4.2.0，而我笔记本电脑安装的还是4.0.2，于是下载了个，装在虚拟机看看。　　关于Nessus游侠就不多说了，作为这个星球上最知名的网络隐患扫描系统（并且可以免费使用），Nes