开门见山 Stage #1 http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7ceb0fe68ee443b86a6e7b9 这一道题发现我们写入的内容直接没有任何过滤,嵌套在一个<b>标签里面,我们常规闭合标签新建标签即可. <b><script>alert(document.domain)</script></b> Stage #2 http://xss-quiz.int21h.jp/stage2…

XSS漏洞学习 简介 xss漏洞,英文名为cross site scripting. xss最大的特点就是能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的. 说白了就是想尽办法让你加载一段js代码从而获取cookie等敏感信息进而搞破坏 XSS大致分为三类 反射性XSS:直接构造url来攻击,只能执行一次 DOM型XSS:通过更改HTML的DOM结构来执行js代码 存储型XSS:攻击者将js代码上传到有漏洞的服务器中,所有访问的人都会受到攻击 挖掘地点 最重要的是闭合标签 个人资…

xss游戏 游戏地址:http://ec2-13-58-146-2.us-east-2.compute.amazonaws.com/ LEMON参考wp地址 1. 文件上传 源码如下 <?php header("X-XSS-Protection: 0"); $target_dir = "uploads/"; $target_file = $target_dir . basename($_FILES["fileToUpload"]["…

dir.func.php 中添加方法: /* 上传文件 */ function uploadFile($fileInfo,$path,$allowExt = array('jpg','jpeg','png','gif','txt'),$maxSize = 10487560){ //判断错误号 if($fileInfo['error'] == 0){ //文件是否是http上传上来的 if(is_uploaded_file($fileInfo['tmp_name'])){ $uniqid = md…

1.gzip 压缩 gzip 是压缩文件,压缩之后文件后缀为.gz 用法:gzip 选项 [文件] 2.gunzip 解压 这个命令与gzip的功能刚好相反,这个是解压. 用法 gunzip 选项 [压缩文件] 3.tar 这个命令可以将文件打包压缩一起执行,也可以解压缩 压缩用法: tar 选项[zcvf] [目录] -c 产生.tar打包文件 -v 显示详细信息 -f 指定压缩后的文件名 -z 打包同时压缩 压缩后的文件格式.tar.gz 举个栗子:将t3文件夹打包成一个t3.tar.gz的…

状态模式 概念介绍 状态模式(State):当一个对象的内部状态发生改变时,会导致其行为的改变,这看起来像是改变了对象 示例演示 在我们写项目的过程中或多或少会遇到如下的多分支判断 function show(value){ if(value==0){ console.log(0); }else if(value==1){ console.log(1); }else if(value==2){ console.log(2); } } 万一哪天需求变更需要调整结果,那就很麻烦了.那么我们有什么办法…

<深入Java虚拟机学习笔记>- 第19章 方法的调用与返回…

Ext.Net学习笔记19:Ext.Net FormPanel 简单用法 FormPanel是一个常用的控件,Ext.Net中的FormPanel控件同样具有非常丰富的功能,在接下来的笔记中我们将一起见证FormPanel的强大. FieldLabel FieldLabel属性是每一个Field都具有的属性,它为我们的字段显示一个标签,例如上面登陆窗口中的“用户名”和“密码”. 我们可以通过LabelWidth控制标签的长度,例如我们设置用户名字段的LabelWidth="80": L…

目标:减少输入 反模式:捷径会让你迷失方向 使用通配符和未命名的列能够达到减少输入的目的,但是这个习惯会带来一些危害. 1.破坏代码重构:增加一列后,使用隐式的Insert插入语句报错: 2.查询中使用通配符,影响性能和扩展性.大量数据在网络之间传输,可能会造成阻塞. 如何识别反模式:当出现以下情况时,可能是反模式 1.程序由于还使用老的列名而挂掉. 改变了数据库里的一张表,添加.删除.重命名列,或者改变列的顺序.但没能更新全部使用到这张表的代码. 2.花了几天时间终于找到了网络的瓶颈,终于减小…

golang学习笔记19 用Golang实现以太坊代币转账 在以太坊区块链中,我们称代币为Token,是以太坊区块链中每个人都可以任意发行的数字资产.并且它必须是遵循erc20标准的,至于erc20标准,大家可以参考这篇文章 https://theethereum.wiki/w/index.php/ERC20_Token_Standard 它实际上一段智能合约代码,智能合约代码中必须要有以下的一些function 和 event. contract ERC20 { function totalS…