简介 宽字节跨站漏洞多发生在GB系统编码。 对于GBK编码,字符是由两个字节构成,在%df遇到%5c时,由于%df的ascii大于128,所以会自动拼接%5c,吃掉反斜线。而%27 %20小于ascii(128)的字符就会保留。通常都会用反斜线来转义恶意字符串,但是如果被吃掉后,转义失败,恶意的xs ...
分类:
其他好文 时间:
2020-12-15 12:09:06
阅读次数:
3
什么是CSRF? 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF攻击,因为浏览器不会停止js发送请求到服务端,只是在必要的时候拦截了响应的 ...
分类:
其他好文 时间:
2020-12-15 11:50:00
阅读次数:
1
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,Docker 用户最好将 Docke ...
分类:
其他好文 时间:
2020-12-11 12:41:04
阅读次数:
25
RedisDBM技术介绍简介在vBRAS组网中,由于设备故障、用户潮汐时设备弹性伸缩以及设备升级等原因,需要将PPPoE和IPoE等用户的数据在vBRAS设备之间进行迁移。RedisDBM(RedisDatabaseManager,Redis数据库管理)技术借助数据库实现数据的备份和恢复,可以很好地解决用户数据迁移问题。工作机制在RedisDBM组网环境中,接入设备上的用户数据迁移过程如下:用户上
分类:
数据库 时间:
2020-12-11 12:31:53
阅读次数:
4
CSRF概念 CSRF 跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息, ...
分类:
其他好文 时间:
2020-12-09 11:50:54
阅读次数:
3
一、DNS基础知识: 1.DNS简介: DNS 域名服务,用于建立 域名与 ip地址的 一对一 映射。DNS 将域名转换为 IP地址,以便浏览器能够加载 Internet 资源。 类似于一个翻译系统,将xxx.com 翻译为 ip地址(如:192.0.2.254),这种转换发生在幕后,因此用户只需记 ...
分类:
其他好文 时间:
2020-12-07 12:06:33
阅读次数:
4
#知识点1: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况,我们提供了4种方式解决此类问题 1.利用哈希hash传递(pth,ptk等)进行移动 2.利用其 ...
分类:
其他好文 时间:
2020-12-03 12:22:48
阅读次数:
4
CVE-2017-5645 Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645) 一、漏洞原理 Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏 ...
分类:
Web程序 时间:
2020-12-03 12:16:25
阅读次数:
8
题目 题目链接:https://gmoj.net/senior/#main/show/5057 A 君正在玩一款战略游戏,游戏中的规则是这样的: 给定一个 \(n\times m\) 的地图,地图上每一个位置要么是空地,要么是炮塔,要么有若干数量的敌人。现在 A 君要操控炮塔攻击这些敌人。 对于每个 ...
分类:
其他好文 时间:
2020-11-30 16:03:22
阅读次数:
7
🈲WARNING🈲 本文仅供学习和测试,请勿用于非法用途。 前言 花了挺长时间去开发的,中间有很多包是抄的,比如DDL注入、关于opencv等等,主要其实做了一些拼接、打包、部署。 写这篇博客并不真的想去写病毒攻击别人,而是想告诉大家简单的病毒的原理以及其实我们py学好了,也有能力做出来,并不算 ...
分类:
编程语言 时间:
2020-11-30 15:18:31
阅读次数:
9
