该文被密码保护。 阅读全文
摘要:
在项目中使用logging记录日志文件,当此类使用了requests,查看log大量request请求存在在日志中。 Thu, 27 May 2021 17:36:11 connectionpool.py[line:203] INFO Starting new HTTP connection (1) 阅读全文
摘要:
网上搜了很多办法,最终查看log成功解决: 1、检查服务是否运行: 2、打开命令提示符,输入netsh http add iplisten 127.0.0.1,还有netsh http show iplist 3、测试是否成功,不成功,查看配置是否太低,执行打开PowerShell控制台,输入: d 阅读全文
摘要:
服务器磁盘太小了,部署的商业xary只能在/目录下,不想扩容,不想做链接 sec-vulnscan-host1.idc2. 2021-04-25 15:05:19 磁盘:/ 剩余空间不足20% 17.9097% 查看占用大小: [root@sec-vulnscan-host1 ~]# du -hs 阅读全文
摘要:
背景: WEB服务在公司内部服务器上,使用nginx做透明代理,OA区访问发现WEB服务返回No XSRF Header; 在服务器内部本地curl 不过nignx发现可以: CSRF的一般防护策略: 1、限制referer请求来源 2、增加字段token验证 这次的WEB服务使用的在headers 阅读全文
摘要:
最近刚好遇到一个站laravel,可惜不在版本,mark以后方便使用 漏洞前提: 该漏洞可以分别在两个地方触发,一个是直接添加在 cookie 字段,例如: Cookie: ATTACK=payload ; 另一处是在 HTTP Header 处添加 X-XSRF-TOKEN 字段,例如: X-XS 阅读全文
摘要:
在日常测试的时候,发现系统前端打包数据给后端是加密、后端传输回来的也是加密,看来前端做了加解密,跟踪函数如下: 例如AES CBC加密,iv为偏移量,查看数据类型: 搜了下,没有特点的说法,CryptoJS写的,本身特定的wordArray数据类型,查看源码: 部分代码如下: /** * Hex e 阅读全文
摘要:
SAP ECC(ERP Central Components) ——经济适用、高度集成,贴合行业需求的完整ERP解决方案 SAP S/4HANA,SAP ECC升级版SAP模块很多,包含:MM(物料管理模块)、SD(销售与分销模块)、FI(财务会计模块)、CO(管理会计模块)、PS(项目管理模块)、 阅读全文
摘要:
要实现background.js 和 popup.js 之间的交互,首先需要先配置好 manifest.json文件,如: "background":{ //"page":"background.html", "scripts":["js/jquery-1.10.2.min.js","js/back 阅读全文
摘要:
今天基本上都是疫情的一年,2020年折腾了很久。 2020年计划:1. 身体上,照顾好自己、家人、女朋友。19年,自己人生中第一次去急诊,其实就是自己身体免疫力不行,缺乏运动。2020年,锻炼好自己的身体。2. 考取资格证、目前需要的有:英语水平资格证、中级信息安全工程师,英语这个需要努力努力,另外 阅读全文
摘要:
修改mongo的配置文件就可以,mongo组件可以设置不同的日志级别,日志级别为1-5ACCESS 修改参数:systemLog.component.accessControl.verbosity 关于访问控制和用户认证的详细情况,会使用此组件显示到日志中COMMAND 修改参数:systemLog 阅读全文
摘要:
腾讯云的速度比较快 替换brew.git: cd "$(brew --repo)" git remote set-url origin https://mirrors.cloud.tencent.com/homebrew/brew.git 替换homebrew-core.git: cd "$(bre 阅读全文
摘要:
主要原因Centos 6的yum 官网不在维护,所以镜像的yum源也不在维护了,尝试使用网上搜的替换阿里云、163的yum源,发现也不行了。提交了工单 可以使用阿里内网yum源: yum源专有网络VPC类型实例需切换为http://mirrors.cloud.aliyuncs.com/centos- 阅读全文
摘要:
js !function(t,e){"object"==typeof exports&&"undefined"!=typeof module?e(exports):"function"==typeof define&&define.amd?define(["exports"],e):e(t.JSEn 阅读全文
摘要:
DependencyCheck 是owasp开源的一个SCA工具,之前在群里交流,有几家也在尝试落地实践了。 刚好Q3的时候在做代码审计系统的,Q4增加了SCA的检测功能,简单的调研了几个工具,如下: Dependency Check ,OWASP开源,主要是检测java也支持检测其他的语言。 支持 阅读全文
摘要:
这个月基本上都是在开发,写来写去,发现没什么写的,但是想想博客从15年初,一直在坚持写,保证每个月至少1篇,但是又不能太水。 就先说说打的是什么广告吧~ ·渗透测试(正规、正规、正规重要的时候说三遍) 1、需要提供开具授权 2、方向可以是公安、国安,案件类前期渗透侦查以及境外(这行懂的自然懂,不多说 阅读全文
摘要:
在配合某省的WA前期渗透侦查CX中,通过/.git/获取到网站源码,查看配置文件发现该系统使用OSS进行文件存储,配置如下: ACCESSKEYID=XXXXX ACCESSKEYSECRET=XXXXX ENDPOINT=oss-cn-beijing.aliyuncs.comDB_HOST=rm- 阅读全文
摘要:
影响版本: V1.0.0.20180911_beta - V1.0.0.20200506_beta 目前看官方4天了,还没有修复 漏洞代码位置:https://github.com/karsonzhang/fastadmin/blob/master/application/index/control 阅读全文
摘要:
https://docs.gitlab.com/ee/user/application_security/sast/analyzers.html 阅读全文
摘要:
rrweb,是前端js,可以将⻚⾯中的 DOM 以及⽤户操作保存为可序列化的数据,以实现远程回放。 常用于监控、回溯、用户行为分析。 当然,从hack的考虑来说,也可以利用XSS,对页面进行录屏窃听等操作。 具体使用方法就不多啰嗦了,可以参考,或者官网文档: https://blog.csdn.ne 阅读全文