flash也是可以和js一样动态的请求和加载,类似这样 a.com上的a.swf var myLoader:Loader = new Loader(); var url:URLRequest = ne...
web格式化注入漏洞
第一部分:Duo Security Web SDK的一个格式化注入漏洞 翻译自 http://sakurity.com/blog/2015/03/03/duo_format_injection.htm...
富文本安全
昨天阿里安全实习生面试问到了这个,感觉回答的不是很好,最后挂了,今天总结一下。 富文本安全主要分为文件上传防御和xss过滤。 文件上传主要是用来防御上传webshell。只要文件上传到不会被解析的目录...
html和js编码解码导致的xss问题
在js中对特殊字符进行转义我们可以使用下面的函数, function _html_encode(str) { if (!str.length) { return ""; } var result = ...
nginx对自定义http头的处理
有一个app调用后端api的时候,会在http头里面放置AUTH_TOKEN字段,用来用户鉴权,但是后端一直返回用户没有登录,但是本地使用django自带的runserver是可以的。后端的代码是这样...
geohash查找附近的人
微信、默默等查找附近的人最简单的方法就是遍历一遍,然后使用经纬度计算距离。计算公式是http://en.wikipedia.org/wiki/Haversine_formula $$ havarsin...
Hey Jude
Hey Jude, don’t make it bad. Take a sad song and make it better. Remember to let her into your heart...
Django的信号和观察者模式
今天想到给以前写的东西增加缓存支持,每次数据库发生变化之后主动的去修改缓存。当然最笨的方法就是在每次更新数据库的代码后面写一段更新缓存的代码,我们能不能在数据库被更新之后对外发一个信号呢,更新缓存的函...
概率论几个有意思的模型
MathJax.Hub.Config({ extensions: ["tex2jax.js"], jax: ["input/TeX", "output/HTML-CSS"], tex2jax: { i...
ctf中js加密题总结
1 js混淆加密的 特征是开头就是function(p,a,c,k,e,d)类型的~ 题目在http://ctf.idf.cn/game/web/28/ 查看网页源代码,发现这样一坨 eval(fun...
验证码常见安全问题
(1). 验证码在页面或者cookies中输出。这个时候只需要提取一下就能直接使用了。经过加密的也不行,也可以直接去替换密文。 (2). 验证码验证完成后没有销毁,导致验证码重复使用。 验证码的值是在...
29