之前上传图片很大没怎么理会,手动调一下,最近发现在手机上查看没法自适应,很是烦,便想着改掉这个问题。
前段时间参加了一场政务hw,各种waf基本上告别目录扫描,sql注入,暴力破解这些行为,主要采取的快速打点方式有弱口令,文件上传,反序列化及各种逻辑漏洞。这次要说的是期间遇见的一个差点失之交臂的逻辑漏洞,也提醒各位师傅们细心点,不要犯同样的错误。
好多人认为whistle是抓包工具,殊不知抓包只是whistle能力的冰山一角。除了抓包外,它还能修改请求与响应、真机调试h5移动端、解决跨域、域名映射等等等。总而言之,使用whistle能够提升我们的开发效率,改善开发体验。
这个软件叫做 Auto.js,只支持安卓,是一个不需要 Root 权限的 JavaScript 自动化软件。什么意思呢,就是在你的安卓手机上安装这个 APP,然后通过编写 JS 脚本的方式实现自动化操作。类似的也有其他的一些软件,比如苹果自带的快捷操作,可以通过自定义配置完成一系列的流程,但是由于其目标是所有人都可以使用,所以定制的时候就没有那么灵活。
最近在 手机上要显示 PDF 文件,在搜索引擎上找到了很多方案,大体上有以下几种:
注意:使用 sequelize 和 mongoose 的时候,会自动创建 id ,createdAt 和 updatedAt ,无需自己手动创建 。
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
这里所说的相连是指处于同一个局域网的环境下,有问题请看上一篇Auto.js脚本开发环境搭建。
HTML5学堂:在前一篇文章当中,我们借着weinre讲解了NodeJS中的一些简单命令,也讲解了weinre的安装方法,今天我们把weinre的使用“完结”掉。移动端页面的开发过程中,weinre“即时”的调试方式,能够让我们更好更快的解决调试问题,使调试工作变得更加方便。 想要调试的文件放在哪里 首先,按照全局模式“-g”进行安装~(前面一篇文章我们已经讲过了) 之后,将我们需要调试的页面放置于如下目录当中:C:\Users\Administrator\AppData\Roaming\npm\node_
巧用搜索引擎首推谷歌查看了解SRC旗下涉及到的业务,收集其对应的业务下的域名,再进一步进行挖掘,如:
Frida 通过 C 语言将 QuickJS 注入到目标进程中,获取完整的内存操作权限,达到在程序运行时实时地插入额外代码和数据的目的。官方将调用代码封装为 python 库,当然你也可以直接通过其他的语言调用 Frida 中的 C 语言代码进行操作。
前边几篇文章介绍本地缓存,还有 WebSocket 等好多需要在服务内才能运行,上一篇介绍移动端适配,更是需要在手机端访问页面,此时就不得不介绍下如何在本地启动服务,及手机如何访问?
PS:最后想到了什么老铁,可以查看远端的代码是不是就可以获取到借鉴他的代码了。其实微信早就想到了,不是所有的都可以的。远端调试必须知道他的APPID的,不是说直接看就可以了。
Weinre(Web Inspector Remote),是一种远程调试工具。功能与Firebug及chrome调试器类似,可以帮助我们即时更改页面元素、样式,调试JS等。
日常遇到的劫持一般为DNS劫持,可在路由器里强制指定公共DNS解决。本文记录了自己家用宽带HTTP劫持的发现过程。相比DNS劫持,HTTP劫持则更为流氓,解决起来也比较棘手。
在小程序日常开发中,我们可能会遇到需要通过旋转手机等方式来触发某种事件,为此,就需要调用手机当中的加速度计来为我们获取手机的当前状态了。
从7.4.5版本开始,宝塔安装后首页强制绑定手机号码,虽然没有关闭按钮,但其实只是一个弹窗,并且只在首页提示(不排除之后官方改成其他页面也弹窗),不想绑定的用户可以直接修改面板首页文件即可关闭!
React Native(以下简称RN)为传统前端开发者打开了一扇新的大门。其中,使用浏览器的调试工具去Debug移动端的代码,无疑是最吸引开发人员的特性之一。
我试图通过将文章底部的按钮改至左右两侧,类似翻页键,同时添加悬停动作,通过css对兄弟相邻元素的hover监测来控制显隐,悬停按钮时在页面正中显示对应文章卡片。
whistle是基于Node实现的跨平台web调试代理工具,可以作为普通的http代理或者用来抓包、修改、操作http、https、websocket、tunnel请求,如:修改hosts、请求方法、响应状态码、请求(响应)头、请求(响应)内容等等,基本上可以操作web请求的方方面面,而且支持插件扩展功能,本文主要讲下如何用whistle调试移动端页面,安装及使用whistle等其它内容请参见Github:https://github.com/avwo/whistle。
上面的btn-bg修改为btn-lg <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <meta name="viewport" content="width=device-width, initial-scale=1"> <link rel="stylesheet" href
微信在发布小程序之前,有一个佐助微信 Html5 页面开发的 WeixinJSSDK,地址是这个:
Auto.js 是个基于 JavaScript 语言运行在Android平台上的脚本框架。Auto.js主要工作原理是基于辅助服务AccessibilityService。 Auto.js是利用安卓系统的“辅助功能”实现类似于按键精灵一样,可以通过代码模拟一系列界面动作的辅助工作。 因为是开源框架所以安全性很高,他能在手机上模拟人的重复繁琐的工作,不打破被执行的APP规则,不修改,不破坏被执行的APP,可以放心使用
移动测试的同学在日常工作中需要频繁用到抓包、mock数据、限速等测试手段,而Fiddler作为一款强大的辅助工具,深受测试同学的青睐。虽然它有很强大的功能,可是使用的时候也会遇到一些问题,今天想给大家分享一些我在实际业务中遇到的问题和解决办法。
在做React Native开发时,少不了的需要对React Native程序进行调试。调试程序是每一位开发者的基本功,高效的调试不仅能提高开发效率,也能降低Bug率。本文将向大家分享React Native程序调试的一些技巧和心得。 Developer Menu Developer Menu是React Native给开发者定制的一个开发者菜单,来帮助开发者调试React Native应用。 提示:生产环境release (production) 下Developer Menu是不可用的。 如何开启Dev
在做React Native开发时,少不了的需要对React Native程序进行调试。调试程序是每一位开发者的基本功,高效的调试不仅能提高开发效率,也能降低Bug率。 Developer Menu Android模拟器: 可以通过Command⌘ + M 快捷键来快速打开Developer Menu。也可以通过模拟器上的菜单键来打开。 iOS模拟器: 可以通过Command⌘ + D快捷键来快速打开Developer Menu。 在真机上开启Developer Menu: 在真机上你可以通过摇动手机来开启
1.隔行换色 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>隔行换色</title> <script src="../js/jquery-3.3.1.min.js"></script> <script> $(function () { $("tr:gt(1):odd").css("back
宝塔面板更新后原来的“跳过强制手机号登陆绑定账户”方法已经失效因为新版本宝塔面板已经开始验证 userInfo.json,而且目前没有任何的方法可以跳过强制手机号登陆绑定账户的解决方法,宝塔面板强制登陆问题,因为登陆信息与软件列表绑定。目前无法直接破解、删除、绕过登陆。只能通过降级到宝塔面板 7.7.0 来解决这个问题。
根据手头上的信息,最大化的利用,一次简单的漏洞挖掘,感觉过程很有意思分享一下~ 0x01初始 收集子域,也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面,深入然后发现很多的敏感信息。也是从其中的一处敏感泄露,引发了众多漏洞的挖掘。整个测试其实就花了半个小时不到。不过男人不能说自己快!,其实我花了很长时间呢。还是那句话千里之堤毁于蚁穴呀。
最一开始,我只试着弄了个职教云签到监控。帮我签到,但是后来居然在一些地方看到各种逆天操作,然后发现全部都是教师权限才能的操作,然后我就对职教云补签进行了抓包分析(别问我教师账号怎么来的,注册即可)。
很多时候,我们在进行移动端开发时,都是先在PC端使用手机模拟器进行调试,没有问题后,我们才会在手机端的浏览器进行测试,这个时候,如果没有出现问题,皆大欢喜。但是一旦出现问题,我们就很难解决,因为缺乏可视化的界面。不似在PC端,我们能直观的去改变样式,或者是进行断点调试。有时,在移动端我们不得不借助于alert来调试,但是这样的调试方法效率极其低下,很多时候,都是靠经验,或者是靠排除法。甚至,我们不得不归结为是浏览器的实现问题。
node_modules/html-webpack-plugin/index.js 搜索 postProcessHtml
本文出自《React Native学习笔记》系列文章。 在做React Native开发时,少不了的需要对React Native程序进行调试。调试程序是每一位开发者的基本功,高效的调试不仅能提高开发效率,也能降低Bug率。本文将向大家分享React Native程序调试的一些技巧和心得。 Developer Menu Developer Menu是React Native给开发者定制的一个开发者菜单,来帮助开发者调试React Native应用。 提示:生产环境release (production)
收集子域,也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面,深入然后发现很多的敏感信息。也是从其中的一处敏感泄露,引发了众多漏洞的挖掘。整个测试其实就花了半个小时不到。不过男人不能说自己快!,其实我花了很长时间呢。还是那句话千里之堤毁于蚁穴呀。
未授权问题为普通用户登录或没有登录后,拼接js接口,构造报文,越权实现管理员的权限操作。原因:后端没有校验Cookie/Session的身份信息,以至于普通用户的权限可以实现管理员权限的功能。
近来一段时间在忙工作上的事,对鸿蒙的文章很久没有更新了,而鸿蒙之前的开发者文档中说明了会在近期更新DevEco Studio的版本,当版本更新之后肯定会增加一些新的内容,下面来看看吧。
这个问题是由于ReactNative兼容64位Android手机导致的。 解决办法: 1.在项目的根目录的 gradle.properties 里面添加一行代码 android.useDeprecatedNdk=true. 2.在 build.gradle 文件里添加以下代码
此时可以看到dist目录的文件图标由 W 变成了 A,说明此时的web项目已经变成了移动APP项目 ,而且此时生成了一个新的文件manifest.json
乍一看这个博客有点小完整了,但是一路跟下来的同学应该知道,我们之前的登录都是通过传入用户的 nickName 和 photo 来登录的,但是我们一般在生活中看到的一些比较正规的网站或者小程序,它们的登录一般都有类似手机+验证码登录,并且在一个标准的博客里面,可能还会涉及到诸如用户权限管理,用户登录状态查询等,刚刚我提到的种种关于用户的场景一般会被抽象为一个应用里的一个核心模块 -- 用户系统,即所有和用户注册/登录、信息更新、权限管理、鉴权等相关的内容。
WebDriverAgent 在 iOS 端实现了一个 WebDriver server ,借助这个 server 我们可以远程控制 iOS 设备。你可以启动、杀死应用,点击、滚动视图,或者确定页面展示是否正确。
使用APICloud平台,可以使用前端技术快速开发iOS、Android App、小程序、Web等多端应用。在开发过程中,调用模块可以极大的提升开发效率。本文分为三个部分,告诉大家如何使用APICloud 的原生模块、H5模块以及多端组件,快速实现功能开发。
因为不同的浏览器默认的样式不同,所以在着手项目开始前,我们需要引入reset.css,将所有html标签的默认样式统一化。我这里推荐一个下载reset.css的网站:https://cssreset.com/,里面还有一些normalize.css之类的,大家有兴趣可以研究。
今天看jd-base脚本中的日志,发现有些项目我自己没有提供互助码,脚本会自动去助力作者的互助码。然而有些项目的互助码是每日变化的,根本没有可以在配置文件内去设置我自己的互助码。所以决定修改脚本实现自动记录和查询我自己账号的互助码,以方便我自己的几个号互相助力。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
