漏洞: xxx.meituan.com/%0d%0aevilheadername:%20inject_by_whoamisb 原理猜测: 收到xxx二级域名的时候,会location跳转到该域名(这是我想不懂的地方,收到xxx.meituan.com,就跳转到xxx.meituan.com,本身都到这了,还要跳转一次). 于是,在返回包包头加上一行   Location: xxx.meituan.com. 这时请求的域名  zzz.xxx.com/%0d%0apayload会变为 Locatio…

rank  75 金币  75 等价RMB  750 数据包样式如下 POST /ajax.php HOST: xxx.meituan.com Cookie: xxx id=123&job= 注入点 参数job存在延时注入 检测脚本 这个提交的漏洞精彩的地方在于验证并不是用sqlmap,而是将自己的延时注入写成脚本,原因是sqlmap没有注出数据.原理上是单线程,一个字符从 ASCII32到127过一遍(其实可以用八个线程检测一个字节的八个比特位,这样会稍微快点.但也还可以,毕竟POC,就跑一个…

原文链接:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object>…

一.问题描述Tomcat报错页面泄漏Apache Tomcat/7.0.52相关版本号信息,是攻击者攻击的途径之一.因此实际当中建议去掉版本号信息.二.解决办法 1.进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar  进入到\org\apache\catalina\util目录下2.编辑ServerInfo.properties文件,编辑最后三行,去掉版本号等信息3.改完后自动跳出提示,点击“是”自动更新catalina.jar重新打包.…

一.问题描述Tomcat报错页面泄漏Apache Tomcat/7.0.52相关版本号信息,是攻击者攻击的途径之一.因此实际当中建议去掉版本号信息. 二.解决办法 1.进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar  进入到\org\apache\catalina\util目录下 2.编辑ServerInfo.properties文件,编辑最后三行,去掉版本号等信息 3.改完后自动跳出提示,点击“是”自动更新catalina.jar重新打包.----------…

原文:C# WPF 低仿网易云音乐(PC)Banner动画控件 由于技术有限没能做到一模一样的动画,只是粗略地做了一下.动画有点生硬,还有就是没做出网易云音乐的立体感.代码非常简单粗暴,而且我也写有很多注释,这里就不多啰嗦了,直接贴代码. 算了,啰嗦几句.原理是这样的,在自定义用户控件内添加3个border(左.中.右,以下分别简称为:b1.b2.b3),对border进行缩放和移动动画.往右切换时b1放大平移到b2的位置,b2缩小平移到b3的位置,b3平移到b1的位置,动画结束后重新记录3个b…

在下售卖美国.香港VPN服务器多年,在于客户的交流中,最多关心的就是ping值速度,认为ping速度越低速度越快,以此来评判一台VPN服务器的速度快慢,这其实是一个误区!现在来详细说明下. 1.ping与网站访问使用不同网络协议,理论上两者速度不一定成正比       ping使用ICMP协议,网站访问通常是TCP协议,对不同的协议而言,即使数据链路相同,两者的速度指标也是不一定相关的.就象从家里到市里的商场,对于“步走”与“开车”两种交通方式,其速度当然不相关. 延迟低不代表网速快 2.可以通…

基础知识 网络延迟:网络延时指一个数据包从用户的计算机发送到网站服务器,然后再立即从网站服务器返回用户计算机的来回时间.通常使用网络管理工具PING(Packet Internet Grope)来测量网络延时. 抖动:抖动是QOS里面常用的一个概念,其意思是指分组延迟的变化程度.网络延时随时都在不停的变化称为抖动(延时的变化成为抖动). 丢包:丢包率,是一个比率,网络中数据的传输是以发送和接收数据包的形式传输的,理想状态下是发送了多少数据包就能接收到多少数据包,但是由于信号衰减.网络质量等等诸多…

APP漏洞扫描器之本地拒绝服务检测详解 阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测,采用的是静态分析加动态模糊测试的方法来检测,检测结果准确全面.本文将讲一下应用漏洞扫描器在针对本地拒绝服务的检测方法. 一.本地拒绝服务产生原因和影响 Android应用使用Intent机制在组件之间传递数据,如果应用在使用getIntent(),getAction(),Intent.getXXXExtra()获取到空数据.异常或者畸形数据时没有进行异常捕获,应用就会发生Cras…

今天受同事的委托,修复一台服务器的Apache漏洞,主要集中在以下几点: 1.Apache httpd remote denial of service(中危) 修复建议:将Apache HTTP Sever升级到2.2.20或更高版本. 解决方法:升级HTTP. 现Apache官网提供的都是源码包. 源码包的使用方法可参考:http://blog.chinaunix.net/uid-24961369-id-251583.html 2.点劫持(Clickjacking: X-Frame-Opti…