chrome谷歌浏览器安装插件

XSS测试平台xss-platform搭建

xss俗称跨站脚本漏洞/攻击,本文不赘述它的原理,只讲下xss-platform这个基于php的xss平台搭建,在这次测试过程中下过两个版本的xss-platform,一个是比较老的需要在php5.6的前后的版本上使用,另一个是由其他大神修改的需要7.0以上版本的。因为是基于php+mysql的所以[……]

继续阅读

design-user-level-quickly

只允许特定电脑访问网站(根据访问者硬件信息区分)

最近接到一个需求,需求放想要实现只允许特定人员的电脑登录公司里的后台管理系统。刚接到这个需求觉得是异想天开,受限于B/S架构想要通过浏览器来识别不同电脑从来没听说过。正常第一反映是通过ip地址来进行限制,但是这个后台管理系统在互联网上运行,而需求方想要实现的是全国各地分公司下面的部分特定人员的办工电[……]

继续阅读

dingtalk-use-spl-autoload-register
月行将远•思

YAPI远程命令执行漏洞(最新版已修复此问题)

YAPI是一个广泛使用的api接口管理系统,本文讲的这个远程命令执行漏洞其实已经在最新的几个yapi版本中修复了。漏洞利用过程概括起来就是YAPI开放了注册功能,然后恶意用户注册后新建项目并在接口的Mock功能里面添加了恶意脚本,最终执行了脚本里的命令。

如果要看YAPI的安装昨天有写一篇安装[……]

继续阅读

self-study-202004
vpn-software

记一次mac系统下格式化抹除硬盘数据恢复

前段时间给电脑装了mac和win10双系统(mac在固态硬盘、win10在机械硬盘),本来是要在mac下把一个移动硬盘用来做timemachine系统备份,结果选错了硬盘把装win10的硬盘给格式化抹掉了!还没来得及悔恨立马就在想怎么恢复数据,主要是里面的数据比较重要,系统的话随随便便装就可以了。经[……]

继续阅读