xss俗称跨站脚本漏洞/攻击，本文不赘述它的原理，只讲下xss-platform这个基于php的xss平台搭建，在这次测试过程中下过两个版本的xss-platform，一个是比较老的需要在php5.6的前后的版本上使用，另一个是由其他大神修改的需要7.0以上版本的。因为是基于php+mysql的所以没什么难度，但是遇到一些问题解决起来废了一点时间。

一、在本次xss平台搭建过程中遇到的问题

1、注意你的xss-platform支持的php版本，否则可能跑不起来，一般建议是直接装宝塔然后在里面安装不同的php版本方便切换。

2、如果遇到打开项目的“查看代码”比较卡顿的情况，可能[……]

最近接到一个需求，需求放想要实现只允许特定人员的电脑登录公司里的后台管理系统。刚接到这个需求觉得是异想天开，受限于B/S架构想要通过浏览器来识别不同电脑从来没听说过。正常第一反映是通过ip地址来进行限制，但是这个后台管理系统在互联网上运行，而需求方想要实现的是全国各地分公司下面的部分特定人员的办工电脑才能登录后台（且不说各分公司上网的路由外网ip会变，位于同一个局域网的办工环境下不同用户访问互联网时出口ip都是一样的，根本不能用ip来区分）！

当时直接回复这个浏览器不好实现，如果想要实现可以考虑开发客户端程序来实现。但是需求方不依不饶说他们找人评估过了可以用控件等方式实现！好家伙这都行，[……]

基于网上的各大教程，在jienkins中实现钉钉通知的办法有2种，一种是使用jenkins的插件DingTalk，可以实现构建过程的钉钉群机器人消息，还有一种就是自己写shell脚本在构建中进行调用。

一、jenkins中的DingTalk插件

1、可以直接在jenkins插件中搜索安装，该插件的github地址为https://github.com/jenkinsci/dingtalk-plugin

2、在系统管理–系统配置—钉钉 配置项进行配置，配置前需要你在钉钉上有一个钉钉群并且添加了机器人。

机器人需要登录电脑版钉钉客户端，选择一个钉钉群，在群设置里面[……]

利用jenkins从git仓库拉取前端源码并打包成静态资源文件。前面也有一篇介绍用jenkins打包maven后端项目的文章也可以参考下https://ranjuan.cn/jenkins-maven-jar-gittag/。

一、确保jenkins已经安装了打包前端代码所需的插件

在jenkins插件管理里查看是否安装了nodejs插件，如果没有就搜索安装，然后在jenkins地址后面加/restart进行重启

有node插件后需要在系统全局配置里安装node版本。我本地前端项目使用的node版本是14.17.5，所以最好jenkins也安装相同的版本！开发[……]

通达OA2017版本以及V11.x～V11.5都存在此问题。官方已经给出了相关的修复。

关于此漏洞可以移步阿里云的安全公告查看： https://help.aliyun.com/noticelist/articleid/1060277736.html?spm=a2c4g.789213612.n2.6.7d854c077uDTo0

通达OA漏洞复现过程

一、使用python写的POC脚本获得管理员session

oa_poc.py

在dos窗口执行以下命令，即可获得cookie，如果是v11版本则将下面命令里面的2017换成11。

二、替换[……]

一、需要确保jenkins所在服务器安装了java及maven环境

一般只要jenkins能运行说明java环境都是已经安装好了的，另外maven的安装可以使用jenkins自动安装

在jenkins的全局工具配置里，选择Maven，我选的是3.6.1版本，并给该版本取名为“maven3.6.1”实际根据项目情况选择，因为我是测的ruoyi前后端分离版本，3.6.1这个版本正好也是intellij IDEA用的版本。

这里选择保存应用后并不会立即下载maven，只有在你第一次构建有用到他的时候才会下载。

二、创建构建maven项目的任务

如果你新建项目时没[……]