打比赛还是要自己搞个 Docker 文件才好玩啊，本地模拟成不成也不知道原因，搞了个 Docker 就很容易的知道哪里出了问题，本次文章内容描述了 本地文件包含 session 文件的一类题型的解题方案代码

题型：本地文件包含

条件

• session.upload_progress.enabled 开启 必须

  开启上传进度记录

• session.use_strict_mode 关闭

  允许自定义session名称

• session.save_path 已知

  未知也没关系可能就是需要大量的字典爆破

记录下常见的反序列化的解题方案

在玩 Hacker101 , 最开始遇到SQL问题的时候，基本上是 sqlmap 一把梭，很少有手动写注入的时候，以至于每次打CTF遇到了Web注入相关的题目用 sqlmap 解决不了又不会写 tamper，然后就完全做不成，趁现在周末有时间，手动玩注入试试水，摸了一个比较快的读取SQL数据的方案 - 按bit位读取。

我们在使用网页展示数据的时候，我们会使用 data: 协议来显示数据，比较常见的场景如上传图片显示，一般来说都是通过从文件中读取之后，转换成base64代码，然后使用 data: 协议来显示图片，具体操作很多，如 FileReader 从文件中读取二进制, 使用Canvas绘制之后转换成二进制等，我提出来的主要原因是用于网页视频下载。

Gif是没有透明色的，所以在处理透明色的时候，需要指定一种颜色作为透明色来实现透明。

有点想转安全，不做开发了，但是好像自己又比较菜，于是就开始学习了，最近一段时间主要就是玩黑客101的CTF吧，把基础知识补一下，昨天去面试了一把，发现自己做开发的话，面试也很难过，自己最近几年还是白过了，好了闲话不多说，昨天做了下 Micro-CMS 的题目，感觉还行吧，第一次接触这种CTF，感觉有点神奇，Flag居然不是我们自己去找的，而是做到了预设的点就可以了，Flag自己就出来了.

本文简要记录一下在Windows平台和Linux平台上的那很少接触的文件保护方案

参考命令

• Windows

  • attrib

• Linux

  • lsattr
  • chattr

实现一个视频播放的功能，以及对大文件的下载操作等等都避不开一个点：获取文件任意位置的数据，如果说我们单纯的通过 echo file-content 的方式只能用于文件下载，如果视频文件用于播放中，则难以处理，具体表现则为视频播放的时候无法调整进度条，而且如果是视频网站，对于视频只采用放在某个可以直接访问的目录上，那么这个视频也就相当于公开了，对于什么 VIP 什么的也就无从说起，本篇文章将 Range，来提供视频播放、断点续传、多线程下载的技术依赖实现

在做网站开发的时候，我们经常会用到异步请求来实现无刷新更新网页，通常我们使用的都是同源API来实现、以及使用 WebSocket 协议，这两个协议都离不开浏览器的一个安全判断：同源策略。文章中包含了跨站请求的实现与基本会话保持的方案。

博客系统第一版本写完了， 大概写完了，这也可能是这几年最满意的一个版本，至少自己用起来很方便，现在不免有些感慨。