记录下常见的反序列化的解题方案
在玩 Hacker101 , 最开始遇到SQL问题的时候,基本上是 sqlmap
一把梭,很少有手动写注入的时候,以至于每次打CTF遇到了Web注入相关的题目用 sqlmap
解决不了又不会写 tamper
,然后就完全做不成,趁现在周末有时间,手动玩注入试试水,摸了一个比较快的读取SQL数据的方案 - 按bit位读取。
我们在使用网页展示数据的时候,我们会使用 data:
协议来显示数据,比较常见的场景如上传图片显示,一般来说都是通过从文件中读取之后,转换成base64代码,然后使用 data:
协议来显示图片,具体操作很多,如 FileReader
从文件中读取二进制, 使用Canvas
绘制之后转换成二进制等,我提出来的主要原因是用于网页视频下载。
Gif是没有透明色的,所以在处理透明色的时候,需要指定一种颜色作为透明色来实现透明。
有点想转安全,不做开发了,但是好像自己又比较菜,于是就开始学习了,最近一段时间主要就是玩黑客101的CTF吧,把基础知识补一下,昨天去面试了一把,发现自己做开发的话,面试也很难过,自己最近几年还是白过了,好了闲话不多说,昨天做了下 Micro-CMS 的题目,感觉还行吧,第一次接触这种CTF,感觉有点神奇,Flag居然不是我们自己去找的,而是做到了预设的点就可以了,Flag自己就出来了.
本文简要记录一下在Windows平台和Linux平台上的那很少接触的文件保护方案
参考命令
Windows
attrib
Linux
lsattr
chattr
实现一个视频播放的功能,以及对大文件的下载操作等等都避不开一个点:获取文件任意位置的数据,如果说我们单纯的通过 echo file-content
的方式只能用于文件下载,如果视频文件用于播放中,则难以处理,具体表现则为视频播放的时候无法调整进度条,而且如果是视频网站,对于视频只采用放在某个可以直接访问的目录上,那么这个视频也就相当于公开了,对于什么 VIP
什么的也就无从说起,本篇文章将 Range
,来提供视频播放、断点续传、多线程下载的技术依赖实现
在做网站开发的时候,我们经常会用到异步请求来实现无刷新更新网页,通常我们使用的都是同源API来实现、以及使用 WebSocket
协议,这两个协议都离不开浏览器的一个安全判断:同源策略。文章中包含了跨站请求的实现与基本会话保持的方案。
博客系统第一版本写完了, 大概写完了,这也可能是这几年最满意的一个版本,至少自己用起来很方便,现在不免有些感慨。
在写新的博客系统,文件上传的时候出了点问题,大文件直接无法上传。