admin 发表的所有文章 | CN-SEC 中文网

富文本安全

昨天阿里安全实习生面试问到了这个，感觉回答的不是很好，最后挂了，今天总结一下。富文本安全主要分为文件上传防御和xss过滤。文件上传主要是用来防御上传webshell。只要文件上传到不会被解析的目录...

05月17日安全博客82 views评论

阅读全文

html和js编码解码导致的xss问题

在js中对特殊字符进行转义我们可以使用下面的函数， function _html_encode(str) { if (!str.length) { return ""; } var result = ...

05月17日安全博客272 views评论

阅读全文

nginx对自定义http头的处理

有一个app调用后端api的时候，会在http头里面放置AUTH_TOKEN字段，用来用户鉴权，但是后端一直返回用户没有登录，但是本地使用django自带的runserver是可以的。后端的代码是这样...

05月17日安全博客38 views评论

阅读全文

安全博客

geohash查找附近的人

微信、默默等查找附近的人最简单的方法就是遍历一遍，然后使用经纬度计算距离。计算公式是http://en.wikipedia.org/wiki/Haversine_formula $$ havarsin...

05月17日33 views评论

阅读全文

Hey Jude

Hey Jude, don’t make it bad. Take a sad song and make it better. Remember to let her into your heart...

05月17日安全博客22 views评论

阅读全文

Django的信号和观察者模式

今天想到给以前写的东西增加缓存支持，每次数据库发生变化之后主动的去修改缓存。当然最笨的方法就是在每次更新数据库的代码后面写一段更新缓存的代码，我们能不能在数据库被更新之后对外发一个信号呢，更新缓存的函...

05月17日安全博客88 views评论

阅读全文

概率论几个有意思的模型

MathJax.Hub.Config({ extensions: ["tex2jax.js"], jax: ["input/TeX", "output/HTML-CSS"], tex2jax: { i...

05月17日安全博客29 views评论

阅读全文

CTF专场

ctf中js加密题总结

1 js混淆加密的特征是开头就是function(p,a,c,k,e,d)类型的~ 题目在http://ctf.idf.cn/game/web/28/ 查看网页源代码，发现这样一坨 eval(fun...

05月17日443 views评论

阅读全文

验证码常见安全问题

（1）. 验证码在页面或者cookies中输出。这个时候只需要提取一下就能直接使用了。经过加密的也不行，也可以直接去替换密文。（2）. 验证码验证完成后没有销毁，导致验证码重复使用。验证码的值是在...

05月17日安全博客40 views评论

阅读全文

安全博客

https原理和请求伪造

https握手过程 (1). 客户端向服务器发起ClientHello请求.发送的消息内容包括支持的协议版本，比如TLS 1.0版一个客户端生成的随机数，稍后用于生成”对话密钥” 支持的加密方法，...

05月17日23 views评论

阅读全文

通过.git获取源码

本来是看到这个文章，觉得还不错，想简单翻译一下搬到博客上来。结果晚上就发现一篇更详细的ppt。原 ppt 链接 http://www.slideshare.net/kost/ripping-web-...

05月17日安全博客64 views评论

阅读全文

支付平台伪造支付结果漏洞

最近在使用某个第三方提供的支付 sdk 开发的时候，发现一个问题，可能造成支付结果伪造。目前漏洞已经修复。整个的流程大致是这样的，你的前端(app 或者网页)将姓名地址手机等订单信息发送到服务器，服...

05月17日安全博客17 views评论

阅读全文

admin

在线咨询

微信