博客搬家

YAPI远程命令执行漏洞(最新版已修复此问题)

YAPI是一个广泛使用的api接口管理系统,本文讲的这个远程命令执行漏洞其实已经在最新的几个yapi版本中修复了。漏洞利用过程概括起来就是YAPI开放了注册功能,然后恶意用户注册后新建项目并在接口的Mock功能里面添加了恶意脚本,最终执行了脚本里的命令。

如果要看YAPI的安装昨天有写一篇安装[……]

11-11赋予我的是看开
jquery-find-firstdiv

记一次mac系统下格式化抹除硬盘数据恢复

前段时间给电脑装了mac和win10双系统(mac在固态硬盘、win10在机械硬盘),本来是要在mac下把一个移动硬盘用来做timemachine系统备份,结果选错了硬盘把装win10的硬盘给格式化抹掉了!还没来得及悔恨立马就在想怎么恢复数据,主要是里面的数据比较重要,系统的话随随便便装就可以了。经[……]

centos-ssh-mac-connect

被泄露的OSS密钥(阿里云OSS使用前端直传的危害)

之前简单写过一篇介绍OSS几种上传方式对比的文章(阿里云OSS上传方式对比),其中最不建议的就是使用js前端直传的方式,下面本文将结合实际例子,看看它为什么不安全。

一、如何判断目标站点是不是使用了OSS的前端直传

按F12打开浏览器的调试窗口,然后进行在web的上传页面进行文件[……]

windows-software-develop

RegSnap注册表快照工具(破解软件时间限制)

软件推荐:RegSnap。RegSnap是一款注册表快照工具,可以记录注册表及其他与系统有关项目的修改变化情况。另外,RegSnap 还可以报告系统的其他情况:Windows 的系统目录和系统的 system 子目录下文件的变化情况,包括删除、替换、增加了哪些文件。一般来说软件安全员使用的比较多,常[……]

wordpress-weixin-miniprogram-gpl

如何用生日做高强度密码&密码保护

之前在已经写过一篇:用生日做高强度密码 现做补充。

一、控制密码的长度

直接使用整体生日作为用户密码之一,假设生日为19880102这样密码已经至少8位数了。另外再补上你的姓名拼音大小写间隔,假设是张三ZhAnGsAn,如果你觉得太长可以取首字母大小写间隔Zs。这样你的所有网站的密码就[……]