Discuz x3.4 前台 SSRF 分析
作者:LoRexxar'@知道创宇404实验室时间:2018年12月7日英文版本:https://paper.seebug.org/981/2018年12月3日,@L3mOn公开了一个Discuz x3.4版本的前台SSRF,通过利用一个二次跳转加上两个解析问题,可以巧妙地完成SSRF攻击链。https://www.cnblogs.com/iamstudy/articles/discuz_x34_ssrf_1.html在和小伙伴@Dawu复现过程中发现漏洞本...
2024-01-10
Discuz! 1.5-2.5 命令执行漏洞分析(CVE-2018-14729)
作者:lucifaer作者博客:https://www.lucifaer.com/鸡肋的漏洞,不过官方的解决方案也是有点意思…0x00 漏洞简述漏洞信息8月27号有人在GitHub上公布了有关Discuz 1.5-2.5版本中后台数据库备份功能存在的命令执行漏洞的细节。漏洞影响版本Discuz! 1.5-2.50x01 漏洞复现官方论坛下载相应版本就好。0x02 漏洞分析...
2024-01-10
hifi,Discuz!
Hi-Fi是骗局吗?hI-FI,中国话叫“高保真”。高保真是骗局吗?不是!高保真,是人们对音响器材的一种追求和判别标准。说的完整一点,就是“高度保持音乐基本元素的真实重放”,这就是高保真。而为了满足这一要求的器材,就称之为“高保真器材”。请注意“高度保持”的“高度”两个字。高度...
2024-01-10
mockito BDDMockito风格
示例行为驱动开发(BDD)测试样式围绕测试的“给定”,“何时”和“然后”阶段进行。但是,古典Mockito在“给定”阶段使用“何时”一词,并且不包括可以包含BDD的其他自然语言构造。因此,在1.8.0版中引入了BDDMockito别名,以便于进行行为驱动的测试。最常见的情况是存根方法的返回值。在以下示例中...
2024-01-10
TaskBoard带来iOS风格多任务到Mac OS X
你永远在Mac上的应用程序之间来回走动吗?如果你那您可以使用它来查看所有正在运行的应用程序,并通过单击来切换它们。我知道你是什么如果你Here1.从SourceForge下载TaskBoard应用程序;它开箱即用。一旦运行包文件并安装应用程序,TaskBoard将在后台运行,您可以立即使用它。只需将鼠标滚动到屏幕...
2024-01-10
《电锯糖心重制版(Lollipop Chainsaw)》公布女主角新形象 设计更偏向日系风格
日本 Dragami Games 去年 7 月发表了游戏《电锯糖心(Lollipop Chainsaw)》的消息,最近的一张新年贺图中,发现女主角已经整容! Dragami Games 在元旦日公开了新年贺图,展示了旗下游戏的角色,其中包括《电锯糖心(Lollipop Chainsaw)》女主角朱丽叶·斯塔林,不过有玩家发现她已经「整容」! 今次公开的图...
2024-01-10Discuz论坛密码与密保加密规则
Discuz密码加密规则:md5(md5('字符串').'固定字串'); 固定字符串是在注册用户的时候随机生成的,且保存在数据表pre_ucenter_members的salt字段中。 举例:假如密码为 123456789 ,固定字符串为jb51, 那么加密规则为:md5(md5('123456789').'jb51'); 得出的结果就是:96122ff0dd306c912aab15adccf21df1Disc...
2024-01-10
用 Vue 全家桶二次开发 V2EX 社区
一、开发背景为了全面的熟悉Vue+Vue-router+Vuex+axios技术栈,结合V2EX的开放API开发了这个简洁版的V2EX。 在线预览 (为了实现跨域,直接npm run dev部署的,首次加载略慢)API来自官方以及djyde的整理。项目地址:v2ex-vue二、项目演示分类页文章页 & 用户页懒加载路由首页默认显示最新的帖子首页 ...
2024-01-10
【小程序】小程序·云开发一键部署Discuz! Q,免费使用30天!
经历了两周,我们对部署 Discuz! Q 的能力再次升级,真正的做到点击一个按钮,即可部署 Discuz!Q,无需自建服务器,无需编写一行代码,只需等待3-5分钟即可部署应用,更兼容PC端和移动端版本的 Discuz! Q。立即免费领取云开发部署应用的特性省钱:按量计费,没有流量可缩容到0省心:Serverless 无服...
2024-01-10
php实现统计IP数及在线人数的示例代码
写在前面的话很多人有这样的需求,就是统计网站访问IP以及在线的人数。今天我们就看一下具体实现方法。开启依赖函数模块实现这个功能,需要依赖putenv()函数。下面两种方式均可。更改php.ini文件方法找到php.ini文件,搜索putenv关键字,删除即可。isable_functions = passthru,exec,system,putenv,chroot,chgrp,ch...
2024-01-10
vue中如何简单封装axios浅析
把axios注入到Vue中import axios from 'axios';Vue.prototype.$axios = axios;import axios from 'axios'axios.defaults.timeout = 5000; //响应时间axios.defaults.headers.post['Content-Type'] = 'application/json;charset=UTF-8'; //配置请求头axios.defaults.w...
2024-01-10
koa2服务配置SSL的实现方法
一:前言1:SSL证书我的域名在腾讯云,每次解析新建一个三级域名(假设是 aaa.jiangw1.com ),都会赠送一年的SSL,申请成功后下载SSL证书,如下:可以看到准备了各种服务器的文件,node服务用红圈中的通用ssl文件即可。2:解析aaa.jiangw1.com记录类型填 A ,记录值填服务器公网IP二:代码以下代码...
2024-01-10
java设计模式笔记之适配器模式
适配器(Adapter)模式:适配器模式把一个类的接口变换成客户端所期待的另一种接口,从而使原本因接口不匹配而无法在一起工作的两个类能够在一起工作。生活中的场景:1、笔记本电源适配器,可以将220v转化为适合笔记本使用的电压。2、给笔记本电脑的usb接口插入台式机的ps/2接口的键盘,需要...
2024-01-10
Java监听器的作用及用法代码示例
监听器在JavaWeb开发中用得比较多Java Web开发中的监听器(listener)就是application、session、request三个对象创建、销毁或者往其中添加修改删除属性时自动执行代码的功能组件,如下所示: ①ServletContextListener:对Servlet上下文的创建和销毁进行监听。 ②ServletContextAttributeListener:监听Servlet上下文属性的...
2024-01-10
Spring Boot+Mybatis的整合过程
依赖配置结合前面的内容,这里我们要嵌入数据库的操作,这里以操作MySQL为例整合Mybatis,首先需要在原来的基础上添加以下依赖<!-- mybatis依赖 --><dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>1.1.1</version></dependency>当然啦,只依赖mybatis是不够的还需...
2024-01-10
java web激活邮箱并找回密码
几乎每个网站或论坛之类的用户注册后都需要通过发送邮件到邮箱激活用户,如何激活邮箱呐?设计激活步骤:1、发送激活操作链接地址至用户邮箱。2、用户至邮箱查收邮件。3、用户点击链接,跳转至成功页面(修改激活状态),激活成功。实现:/** * 发送邮件 * * @param request * @return ...
2024-01-10
Java自动化工具Ant的基础使用教程
Ant 是什么?Apache Ant 是一个基于Java 的生成工具。据最初的创始人 James Duncan Davidson 介绍,这个工具的名称是 another neat tool(另一个整洁的工具) 的首字母缩写。Ant的作用:生成工具在软件开发中用来将源代码和其他输入文件转换为可执行文件的形式(也有可能转换为可安装的产品映像形式)。随着应...
2024-01-10
java实现简单美女拼图游戏
拼图小游戏,学习阶段。很多不足,改进了一下演示图片:J_Puzzle.javaimport java.awt.BorderLayout;import java.awt.Component;import java.awt.Container;import java.awt.Dimension;import java.awt.Font;import java.awt.Graphics;import java.awt.GridBagConstraints;import java.awt.GridBagLayout...
2024-01-10
Java基础教程之类型转换与多态
我们之前使用类创造新的类型(type),并使用继承来便利我们创建类的过程。我将在这一讲中深入类型,并介绍多态(polymorphism)的概念。 类型检查Java的任意变量和引用经过类型声明(type declaration),才能使用。我们之前见过对象数据、类数据、方法参数、方法返回值以及方法内部的自动变量,它们都需...
2024-01-10
解析Java类和对象的初始化过程
类的初始化和对象初始化是 JVM 管理的类型生命周期中非常重要的两个环节,Google 了一遍网络,有关类装载机制的文章倒是不少,然而类初始化和对象初始化的文章并不多,特别是从字节码和 JVM 层次来分析的文章更是鲜有所见。 本文主要对类和对象初始化全过程进行分析,通过一个实际...
2024-01-10
Excel 4.0 Macro 恶意代码分析
作者: Yenn_原文链接: Wei's Blog0x1 背景今天在推特上看见一个老哥发了一个针对意大利的样本,还是热乎的,遂下载下来分析看看,没想到是个Excel 4.0 Macro的样本,以前没仔细分析过Excel 4.0 Macro也没有总结记录过,这里写个文章总结一下分析的过程。目的在于记录Excel 4.0 Macro的分析方法,所以就不跑动...
2024-01-10
AgentTesla 间谍木马的新骗术
原文链接:https://labs.sentinelone.com/译者:知道创宇404实验室翻译组Tesla RAT(远程访问特洛伊木马)已成为2020年上半年威胁企业的最流行的恶意软件系列之一,被发现的攻击次数甚至超过TrickBot或Emotet,仅次于Dridex 。尽管Agent RAT代理已经存在了至少6年,但它仍在不断适应和发展,挫败了许多组织的安全...
2024-01-10
Hacking Jenkins Part 2 - Abusing Meta Programming for Unauthenticated RCE!
作者:Orange Tsai来源:https://devco.re/blog/2019/02/19/hacking-Jenkins-part2-abusing-meta-programming-for-unauthenticated-RCE/相关阅读:Hacking Jenkins Part 1 - Play with Dynamic Routing嗨! 大家今天過得好嗎?這篇文章是 Hacking Jenkins 系列的下集! 給那些還沒看過上篇文章的同學,可以訪問下面鏈結,補充一些基本知識及了解之前如何...
2024-01-10
HTTP 服务器(C语言)传输图片出现问题
我自己用C语言写一个HTTP服务器,但是在使用fopen,fread时候出现问题。传输不了图片。void http_send_static(int sock_client,char *datapath){ char HTTP_HEADER[1024],HTTP_INFO[1024]; int len; FILE *fd; printf("%s\n",datapath); if((fd=fopen(datapath,"rb"))<0){ printf("error...
2024-01-10
c++ 调用sort的问题
][5]我要实现自己的随机迭代器,可是运行会报错,调用形式 arrayList<string>::iterator beg, end;beg = array3.begin();end = array3.end();std::sort(beg,end);是我发的迭代器类缺了什么,还是什么其他的问题的,还有迭代器类的一顿类型别名,具体什么作用回答:已经找出问题...
2024-01-10
请求数据有时候得到undefined,这是为什么?
问题描述我用 antd-mobile 的长列表渲染页面,用 axios 发请求,有时候有一部分数据拿不到,有时候又没问题,这是为什么?相关代码// 请把代码文本粘贴到下方(请勿用图片代替代码)我用 axios 创建实例时,用了 transformResponse 配置项。transformResponse(data){ if(!data){ //数据没拿到 return; ...
2024-01-10
IOS下position:fixed固定在头部,网页下拉时,不随页面下拉。
我在头部用position:fixed的时候,在网页内操作页面下拉,头部固定不动,不随网页下拉,安卓不会,就iOS会,有遇到过的吗这是正常的时候,没有下拉这是下拉的时候回答:使用绝对定位来模拟吧,ios上面固定不了...
2024-01-10
提交金融理财类app到appStore被拒
PLA 1.2We found that the Seller and/or Artist names associated with your app do not reflect the name of the financial institution in the app and/or its name and metadata.To be appropriate for the App Store, your app must be published under a Seller name an...
2024-01-10
上传 App 到 App store 过程中"出口合规信息"选择了 "是",之后想更改却没有这个选项了.怎么修改回来?
如题,下图是我选择的时候截的图.一般来说这个选项是跟 IDFA 一起出现的,可是现在只有 IDFA,这个选项没了.我尝试过重新提交发现却还是不出来.现在 App 当中大部分连接都是 https 的,可是聊天模块并不是.请问怎么让它出来?请问如何操作?回答:你好,我现在也遇见这个问题,请问你是怎么解决的...
2024-01-10
