当我们输入账号、密码登录一个网站时，如果网站允许你使用HTTP（明文）进行身份验证，那么此时捕获通信流量非常简单，我们完全可以对捕获到的流量进行分析以获取登录账号和密码。这种方法不仅适用于局域网，甚至还适用于互联网。这就意味着，攻击者将可以破解任何使用HTTP协议进行身份验证的网站密码。

在局域网内要做到这一点很容易，这不禁使你惊讶HTTP是有多么的不安全。你可以在宿舍网络、工作网络，甚至是校园网络尝试这种破解方法，不过校园网络需要允许广播流量功能，并且要求你的局域网网卡可以设置为混杂模式。

前言：

周末空闲时间无意找到了一套个性化推荐的源码，整体项目运用了SSH，HDFS，Flume，Hive，Kafka，Spark，Scala等。运行时，本来通过spark计算业务埋点数据时，却发现本地没有Kafka。因为我一直也没使用过Kafka，所以也作为新人，浅谈以下Kafka的环境安装与分别在PHP，Scala中的使用。

1、Empire工具介绍

Empire是一个PowerShell后期漏洞利用代理工具同时也是一款很强大的后渗透测神器，它建立在密码学、安全通信和灵活的架构之上。Empire实现了无需powershell.exe就可运行PowerShell代理的功能。快速部署后期漏洞利用模块，从键盘记录器到Mimikatz，并且能够适应通信躲避网络检测，所有的这些功能都封装在一个以实用性为重点的框架中

一、Manticore Search介绍

WordPress的一个最为流行的插件现重大安全漏洞，导致上千万网站面临黑客入侵的危险。

该漏洞由WordPress漏洞扫描器的开发者瑞恩·迪赫斯特（Ryan Dewhurst）发现，该插件名为“WordPress SEO by Yoast”，用于网站的搜索引擎优化，是最流行的WordPress插件之一，目前下载量已超过1400万，所有在1.7.3.3及以前的版本均可被SQL盲注攻击。

该漏洞存在于
admin/class-bulk-editor-list-table.php文件中，只有管理员、编辑和作者等授权用户可访问。因此，攻击者需通过社会工程的手段欺骗授权用户点击特殊构造的链接才能激发漏洞利用程序。之后，漏洞利用程序会在受害者的网站上执行SQL查询代码。

一、现象：当你的数据库开始"说话"，灾难就来了

场景还原：

一条慢查询会造成什么后果？刚开始使用MySQL的开发、初级DBA 以为就是简单的查询变慢些，体验稍微有一丢丢影响，殊不知，慢查询的破坏力远不止如此。业务高峰期，这头SQL还没处理完，大量新的查询请求堆积，CPU使用率长时间居高不下，甚至高达100%，系统直接崩溃……慢查询这样的黑天鹅事件，可能直接影响业务稳定性，造成巨大经济损失。

一、引言：SQL注入——古老而致命的Web安全梦魇

Web应用，作为我们日常获取信息、进行交互的主要方式，其背后离不开数据的存储与管理。数据的流畅交互是现代应用的基石。然而，正是这种交互，也为一种古老却异常顽固的安全漏洞埋下了伏笔——SQL注入。初次听说“SQL注入”这个词，大概是在刚接触Web开发那会儿，当时只觉得名字听起来有点酷，像是武侠小说里的“无影针”，能悄无声息地穿透防御。但随着了解的深入，尤其是看到一些触目惊心的数据泄露事件报道后，才猛然意识到，这个“无影针”可不是闹着玩的，它至今仍是Web安全领域最常见、危害最大的漏洞之一。