前言: 今天发布的是下半部分 进入正题 过滤的绕过和一些奇异的有效载荷 大小写绕过 <sCrIpt>alert(1)</ScRipt> 绕过标签黑名单 <script x><script x>alert('XSS')<script y> 用代码评估绕过单词黑名单 eval('ale'+'rt(0)');Function("ale"+"rt(1)")();new Function`al\ert\`6\``;s…

翻译学习准备自用,同时分享给大家, 来自于: https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS%20Injection#xss-in-wrappers-javascript-and-data-uri 进入正题 跨站脚本攻击(XSS)是一种计算机安全漏洞,通常出现在Web应用程序中.这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到…

你所不知道的 CSS 阴影技巧与细节   关于 CSS 阴影,之前已经有写过一篇,box-shadow 与 filter:drop-shadow 详解及奇技淫巧,介绍了一些关于 box-shadow 的用法. 最近一个新的项目,CSS-Inspiration,挖掘了其他很多有关 CSS 阴影的点子,是之前的文章没有覆盖到的新内容,而且有一些很有意思,遂打算再起一篇. 本文的题目是 CSS 阴影技巧与细节.CSS 阴影,却不一定是 box-shadow 与 filter:drop-shadow,为…

Android Studio环境下代码混淆+签名打包 作者 Mr_冯先生 关注 2016.08.21 01:10 字数 1040 阅读 734评论 5喜欢 34 注:本文使用的Android Studio版本是 2.1.2. 做公司项目,需要对项目进行代码混淆+签名打包,然后就各种搜集查看资料,算是小有成果吧.周末无事就想着总结一下以后再用可做参考.如有不对的地方烦请各位大神指导-- 一.代码混淆 android studio进行代码混淆需要在两个地方做配置:1.添加自己的混淆规则到对应Modu…

Elasticsearch(5)--- 基本命令 这篇博客的命令分为ES集群相关命令,索引CRUD命令,文档CRUD命令.这里不包括Query查询命令,它单独写一篇博客. 一.ES集群相关命令 ES集群相关命令主要是_cat命令,所以这里详细讲解下该命令. 1._cat命令 _cat系列提供了一系列查询Elasticsearch集群状态的接口. /_cat/allocation #查看单节点的shard分配整体情况 /_cat/shards #查看各shard的详细情况 /_cat/shards…

Linux系统下文件压缩与打包命令 常用的压缩文件拓展名 * .Z * .zip * .gz * .bz2 * .xz * .tar * .tar.gz * .tar.bz2 * .tar.xz 压缩命令 gzip,zcat/zmore/zless/zgrep 描述:替换早期的compress命令提供更好压缩比,应用最广的压缩命令,建立出的压缩文件为*.gz gzip [-cdtv#] 文件名 zcat 文件名.gz 参数描述: -c: 压缩数据输出到屏幕,可通过数据流重定向处理 -d: 解压缩…

范例一:将整个 /etc 目录下的文件全部打包成为 /tmp/etc.tar[root@linux ~]# tar -cvf /tmp/etc.tar /etc <==仅打包,不压缩![root@linux ~]# tar -zcvf /tmp/etc.tar.gz /etc <==打包后,以 gzip 压缩[root@linux ~]# tar -jcvf /tmp/etc.tar.bz2 /etc <==打包后,以 bzip2 压缩# 特别注意,在参数 f 之后的文件档名是自己取的,…

安全模式下卸载windows installer打包的软件 起因: 主机系统MAC,虚拟软件Parallels Desktop, 虚拟系统 Win 7. 今天在虚拟机WIN7里面安装了某个软件导致重启时蓝屏,大概是因为这个软件使用了某些驱动组件,而系统是虚拟机不兼容导致的. 蓝屏时不能操作,又无法像物理机一样使用F8进入安全模式,也不能重启,只能卡在蓝屏界面. 想到在蓝屏界面使用 control+option(alt) 呼出PD菜单,在操作中有一个停止,选择停止,然后重启,发现出来了熟悉的 安全…

前端安全方面,主要需要关注 XSS(跨站脚本攻击 Cross-site scripting) 和 CSRF(跨站请求伪造 Cross-site request forgery) 当然了,也不是说要忽略其他安全问题:后端范畴.DNS劫持.HTTP劫持.加密解密.钓鱼等 CSRF主要是借用已登录用户之手发起“正常”的请求,防范措施主要就是对需要设置为Post的请求,判断Referer以及token的一致性,本文不展开 相对来说,XSS的内容就非常庞大了,下面就来整理一下一些XSS的知识点.比较匆忙,…

前段时间使用阿里云server.使用的是Linux CentOS6.5系统,在搭建完Tomcat后发现,Tomcat无法自启动. 将启动tomcat的命令为tomcat_home/bin/startup.sh或tomcat_home/bin/catalina.sh start,当直接把他们不论什么一个增加到/etc/rc.local中,发现问题仍然无法解决,故编写例如以下自启动脚本 export JAVA_HOME=/usr/local/jdk1.7.0_51 export PATH=$JAVA…

技术格言 世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程. 什么是脑裂 字面含义 首先,脑裂从字面上理解就是脑袋裂开了,就是思想分家了,就是有了两个山头,就是有了两个主思想. 技术定义 在高可用集群中,当两台高可用服务器在指定的时间内,由于网络的原因无法互相检测到对方心跳而各自启动故障转移功能,取得了资源以及服务的所有权,而此时的两台高可用服务器对都还活着并作正常运行,这样就会导致同一个服务在两端同时启动而发生冲突的严重问题,最严重的就是两台主机同时占用一个…

1.功能分析: 实际工作中经常会遇到alert()之类的函数被防火墙过滤,而把alert()转化为ascii码放到String.fromCharCode()中就可以绕过,之前会一个一个查ascii表,比如a对应97,l对应108...最后得出alert(1)的ascii码97,108,101,114,116,40,49,41   发现这样太费时间,就用写了个python小脚本,方便做测试用. 后来索性又加了下面这些功能(支持解码),整体写的很挫很糙,但是这个不重要,用着方便就行了~~~ 字符串←…

Ajax 获取数据 GET function loadXMLDoc() { var xmlhttp; if (window.XMLHttpRequest){// code for IE7+, Firefox, Chrome, Opera, Safari xmlhttp=new XMLHttpRequest(); } else{// code for IE6, IE5 xmlhttp=new ActiveXObject("Microsoft.XMLHTTP"); } xmlhttp.on…

https://www.2cto.com/database/201708/666191.html https://github.com/MicrosoftArchive/redis/releases https://www.7down.com/soft/315212.html   redis作为windows服务启动方式 :   redis-server --service-install redis.windows-service.conf  启动服务:redis-server --servi…

1.JSON转换 var cloneTesttaskList = <?php echo json_encode(json_encode($cloneTesttaskList));?>; var cloneObjs = JSON.parse(cloneTesttaskList); 2.遍历Json对象 for(var key in usersObjs) { // alert(key+":"+usersObjs[key]); $("#owner").find…

本次记录仅作参考. 程序说明: 程序是一个编解码器控制管理的工具,使用到的库有:Qt的WebEngine.OpenGL模块.poco库.libmicrohttpd.libcurl.libvlc.同时程序间接的依赖libssl/libxml2等库. 其中poco/libcurl/libmicrohttpd等都编译为了静态库,libvlc/Qt库都是动态库.这里主要解决动态库的问题. Qt官方文档中关于Qt在X11下的依赖情况 http://doc.qt.io/qt-5/linux-requirem…

版权声明:本文为博主原创文章,未经博主允许不得转载.   目录(?)[+]   Nginx是一款HTTP和反向代理服务器,有关它的介绍可以到网上搜一下,很多很多,不再累述.这里,我们记录一下Nginx的安装过程,以及如何配置Nginx来实现Tomcat集群的负载均衡. 基本思路 假如现在我们有一个使用Java实现的Web搜索服务器,用户可以通过Web页面输入关键词,搜索服务器处理搜索请求并向用户展示搜索结果.如果用户访问量很大的话,我们的这台搜索服务器承受的压力会很大,很可能由于搜索服务器的处理…

crontab是和用户相关的,每个用户有自己对应的crontab . cron是Linux下的定时执行工具,以下是重启/关闭等等的命令 #/sbin/service crond start //启动服务 #/sbin/service crond stop //关闭服务 #/sbin/service crond restart //重启服务 #/sbin/service crond reload //重新载入配置 #/sbin/service crond status //查看服务状态 cron服…

    公司的开发环境每次部署项目都很麻烦,需要手动打包并上传上去.这个太麻烦了,所以就准备搞个自动打包的脚本.脚本自动从svn代码库里面更新最新的代码下来,然后maven打包,最后把war包丢到tomcat里面去.其实搞个Jenkins就完事了,但是还是想自己写个脚本玩玩,因此特意记录下自己写这些脚本的过程,方便后续查阅. 一.环境介绍         CentOs6.9 + svn + maven 二.编写maven打包脚本         这里先提一下,公司有个公共的框架项目framewo…

首先启动Nginx 1. 相关浏览 两个 Tomcat 配置:  VMware Linux 下 Nginx 安装配置 - Tomcat 配置 (二) Nginx 安装配置启动: VMware Linux 下 Nginx 安装配置 (一) 2. 转到 nginx 目录: /usr/local/nginx; 启动 nginx: /usr/local/nginx/nginx ubuntu 前要加 sudo; 关健配置 http 配置块下,一般设置在 zgip on 下: upstream localh…

最近在看 spring boot 的东西,觉得很方便,很好用.对于一个简单的REST服务,都不要自己部署Tomcat了,直接在 IDE 里 run 一个包含 main 函数的主类就可以了. 但是,转念一想,到了真正需要部署应用的时候,不可能通过 IDE 去部署啊.那有没有办法将 spring boot 的项目打包成一个可执行的 jar 包,然后通过 java -jar 命令去启动相应的服务呢? 很明显,是有的.下面,我把我自己的实践过程及遇到的问题,一 一说明一下. 首先,把项目的 POM 配置…

Nginx (engine x) 是一个高性能的HTTP和反向代理服务,也是一个IMAP/POP3/SMTP服务. Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like协议下发行.其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好. 接下来将和大家介绍下在Windows下如何进行nginx配置多台服务器实现应用程序在IIS上的负载均衡. 1.多台服务器中挑选一台作为nginx代理服务器…

maven下载地址:http://maven.apache.org/ 下载完成解压到 D盘 目录下D:\apache-maven-3.5.0\bin 配置maven环境变量: M2_HOME   D:\apache-maven-3.5.0\ MAVEN_HOME  D:\apache-maven-3.5.0 Path  ;D:\Java\apache-maven-3.5.0\bin 配置完毕 cmd管理员权限 输入mvn --version显示如图 d:----->cd D:\apache-ma…

一.环境说明:     操作系统:Centos-6.5_x86_64    keepalived软件安装在node2和node3机器上.     实际安装之前,先关闭keepalived节点(node2,node3)上的防火墙. [root@node2 ~]# service iptables stop 二.软件安装:     这里需要安装的软件是keepalived.node2和node3都需要安装. [root@node2 ~]# yum install keepalived     安装完…

在寻找插件开发资料的过程中找到了一个开发浏览器插件的开源项目——firebreath firebreath的安装以及测试我就不再叙述了,可以参考大神的文章 . http://www.blogjava.net/xiaomage234/archive/2012/08/28/386428.html 下面我主要介绍一下调试和打包. 火狐下的调试: 这也是楼主主推荐的调试方法.firebreath配合火狐的调试简直可以说是浑然天成.如果让火狐可以调试firebreath的代码的话,需要对火狐浏览器进行如下…

http://blog.sina.com.cn/s/blog_7479f7990100zwkp.html tar -zcvf /home/xahot.tar.gz /xahot    tar -zcvf 打包后生成的文件名称全路径 要打包的文件夹 样例:把/xahot目录打包后生成一个/home/xahot.tar.gz的文件. tar -zcvf  /home/xahot.tar.gz /xahot 假设提示不要"/" 则写作 tar -zcvf  /home/xahot.tar.g…

命令行打包的时候出现 bash gradle command not found这个问题,主要是因为gradle环境丢失.需要重新配置gradle的环境变量. 1. gradle路径的查找 然后gradle 右键 显示简介 复制下蓝色的 2. 环境变量的配置 在.bash_profile文件中,添加如下图选中内容的配置信息: 执行source .bash_profile,将配置的环境变量生效. 使用命令[gradle -v]看是否出现版本号,如果出现版本号,说明环境变量配置成功了.…

说明 本文只为方便日后查阅,不对一些概念再做赘述,网上都有很多明确的解释,也请大家先了解相关概念. 两台搭建HA的服务器是华为云上的ECS(不要忘记开通VPC,保证我们的服务器都处在一个内网环境),由于华为云每台机器只能绑定一个私有的浮动IP(VIP),所以本次示例只能实现一主一备(Master-Backup). 环境: Server1:192.168.0.70 Server2:192.168.0.71 VIP:192.168.0.10 安装Keepalived(两台服务器步骤相同,只有细微的配…

由于项目需要讲maven项目打包为jar包,由于之前没类似经验,百度找例子走了不少弯路,这边随手记录下,网上说的 开发工具:eclipse jar包管理:maven 一般打包出来的jar包分为两种 一类是没用引用第三方jar包的,他是不能不能直接用的,需要把你打的jar包内引用的第三方jar包引用一下,如果没用maven工具就需要拉在WEB-INF/lib目录下,用了maven的在pom.xml内配置即可, 二类是引用了第三jar包的,这边可以直接使用,单独就可以运行,不需要再去依赖其他jar,…

[环境]windows,正常运行的python文件 1.安装pyinstaller ,cmd下执行以下命令,需看到安装成功界面 pip install pyinstaller 2.cmd中进入要打包的项目的py文件所属目录,执行以命令: pyinstaller -F test.py 执行后会在窗口提示在当前目录的dist目录生成对应的exe文件…