本文已发布到“安全脉搏”，原文链接：https://www.secpulse.com/archives/59262.html

0x00 前言

DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

本文将从DVWA中包含的各种漏洞来学习基本的Web安全开发中的需要注意的问题，本文旨在为Web开发中的新手提供一些安全指南，抛砖引玉，望大牛们多多指点。

公司最近的接的项目，需要对40000个webshell样本分析，由于时间紧，也没写东西，先拿D盾凑合着用一次吧，记使用过程中遇到的一个bug。

上上上周末真是个不平凡的周末，周六公司举办“脉搏涌动”沙龙，虽然忙点，但是也是学到很多，况且还是自己第一次参加安全相关的会议。然后周末上午赶忙完成四爷安排的安全脉搏上的任务，写了个文章发到“安全脉搏”上。下午刚要出去吃饭，工作来了。。。

在研究webshell查杀的时候，学习别人怎么绕waf的思路，今天发现一个很6的函数(至少之前我是没见过)，然后结合之前写访问日志记录文件时用到的方法，very perfect！

最近玩的时候想找一下SSRF的相关知识，去自己博客上一看，WTF竟然还没有！好吧。。那就写一个吧，方便自己以后查看，大牛们多多指点。

爬虫因为需要大量抓取网页，所以有可能会被ban IP，所以通常使用加UA、代理、XFF等伪造真实IP等策略，其中X-Forwarded-For,Client-ip,REMOTE_ADDR可以使用burp的爆破模块，四个payload随机生成就行了，本文重点使用UA、代理IP测试。

上上周打了大学生涯的最后一场CTF比赛，感觉给老师丢人了，自己赛前准备的东西也没咋用上，很憋屈啊！不说了，还是太菜！这两周忙着毕业设计的事，一直没时间写。把自己收集的资料分享下吧，如有错误，请大牛们指导下。