本系统是博客+论坛于一体的系统。支持用户注册,写博客与发帖子。 采用的技术栈也简单,前后端都是 JS, 数据库只有 mysql。 Nodejs+ nextjs + reactjs + koajs + ant-design 采用接口与客户端分离开发,前台页面服务端渲染,jwt方式授权登录,方便开发多个客户端
最近在项目中碰到了app中SSO单点登录使用不当导致的任意用户登录漏洞,渗透过程中碰到不少JS加密处理,SIGN值生成,在与开发的对抗中还是觉得比较有意思,特此记录一下
当我们访问的站点只是一个简单的登录页面时,我们应充分利用涉及到的JavaScript脚本函数或文件。
在开始之前,你需要做一些准备工作,去阿里买一台服务器,服务器的具体细节其实并不是十分重要,我也不会在这里一步一步的教大家如何去买一个服务器。百度一下足够了,但是还是要贴一下这篇文章中,我所使用的服务器系统及其版本:
简单的知识点搭配合适的业务场景,往往能起到意想不到的效果。这篇文章会用三个最基础人人都知道的前端知识来说明如何助力运营小姐姐、公司48+前端开发同学的日常工作,让他们的工作效率得到极大地提升。
Python通常结合selenium模块来完成一些web的自动化测试以及RPA(Robotic Process Automation)工作
忙碌的日子总是过得特别快,回头一看,我已经做node.js BFF开发8个月了,基本上没写过web前端的事情,做了大半年,写篇文章来记录一下我这大半年的心路历程。
我一直在寻找开源、可以免费部署的评论系统,在 Valine 发现隐私问题和 XSS 漏洞后,我就放弃了 Valine 和「无后端」解决方案。
Web登录界面是网站前台进入后台的通道,针对登录管理界面,常见的web攻击如:SQL注入、XSS、弱口令、暴力猜解等。本文主要对web暴力猜解的思路做一个简单的分析,并结合漏洞实例进行阐述。
最近在群里看到好多人说四川省自考报名网站炸了,然后升级了之后好像今天又重新开放了,看到了一个排队99999人的图,然后还有个别在群里叫嚣代自考报名,收费5-20元不等,并且还包代报成功,于是这里绝对有猫腻,所以进行了一个简单的研究,看了下网页代码和js代码,发现只是把登录界面做了隐藏,于是分享给大家。
本教程目的是帮助您设置Ubuntu服务器以运行Node.js程序,包括基于Express,Geddy或Sails的应用程序。这些说明将帮助您避免一些安全性错误,主要内容如下,让我们开始吧!
DevEco Studio支持Windows系统和macOS系统,在开发HarmonyOS应用前,您需要准备HarmonyOS应用的开发环境。环境准备流程如下所示:
JWT token 实现方式, 将基本信息直接放在token中,以便于分布式系统使用, 但是我们没有设置有限期(这个是可以实现的),并且服务端无法主动让token失效。而Redis天然支持过期时间,也能实现让服务端主动使token过期。
两年前做的一个项目,当时客户的需求还没有完成,客户就提出了解决安全的问题,这是当时写的一个记录,分享到这里。
tcb-js-sdk 让开发者可以在网页端使用 JavaScript 代码服务访问云开发的服务,以轻松构建自己的公众号页面或者独立的网站等 Web 服务[1]。本文将以实现图片上传功能为例,介绍 tcb-js-sdk 的基本配置流程。
在网站分析行业中,网站热图能够很好的反应用户在网站的操作行为,具体分析用户的喜好,对网站进行针对性的优化,一个热图的例子(来源于ptengine)
今天继续前面的话题,说说Java web开发的那点事。Java语言一直作为软件行业的热门语言,近几年在国内各个语言开发占的比重如下:
乍一看这个博客有点小完整了,但是一路跟下来的同学应该知道,我们之前的登录都是通过传入用户的 nickName 和 photo 来登录的,但是我们一般在生活中看到的一些比较正规的网站或者小程序,它们的登录一般都有类似手机+验证码登录,并且在一个标准的博客里面,可能还会涉及到诸如用户权限管理,用户登录状态查询等,刚刚我提到的种种关于用户的场景一般会被抽象为一个应用里的一个核心模块 -- 用户系统,即所有和用户注册/登录、信息更新、权限管理、鉴权等相关的内容。
根据手头上的信息,最大化的利用,一次简单的漏洞挖掘,感觉过程很有意思分享一下~ 0x01初始 收集子域,也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面,深入然后发现很多的敏感信息。也是从其中的一处敏感泄露,引发了众多漏洞的挖掘。整个测试其实就花了半个小时不到。不过男人不能说自己快!,其实我花了很长时间呢。还是那句话千里之堤毁于蚁穴呀。
前言: 从9月初开始到现在,我一直在寻找一个适合自己的,可以跨平台的开发APP的js框架。 虽然之前自己也有陆续接触过Weex,React Native,Flutter,NativeScript,Appjs。但是或多或少都提不起我个人的兴趣。原因可能是我不太喜欢RN的书写方式,不太想写css或者去写declarative形式的UI,更加的不喜欢去写html。还有就是难以接受的复杂的开发环境以及高成本的安装方式,调试形式,和乱七八糟的插件文档,总之我一直没去开始尝试,很大一部分是个人的喜好原因。 我其实一
收集子域,也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面,深入然后发现很多的敏感信息。也是从其中的一处敏感泄露,引发了众多漏洞的挖掘。整个测试其实就花了半个小时不到。不过男人不能说自己快!,其实我花了很长时间呢。还是那句话千里之堤毁于蚁穴呀。
最近公司需要做一个电商平台店铺统计的系统,大致的需求是将某电商平台的多个店铺数据全部进行收集,放到公司内部自己的系统里进行管理和分析。为了获取店铺在电商平台的数据,就必须要解决电商平台的登录Cookie问题,拿到登录的Cookie后用接口模拟请拿到数据。为了图方便省事,于是写了一个小小的浏览器插件,专门用于获取登录Cookie,以下简单的对插件作一些介绍。
上一篇基础篇: https://blog.csdn.net/weixin_43582101/article/details/90082023
首先,我举一个复杂的场景,比如用户进入带着一个意图(Intention)进入系统,比如他是要去做一个生成签名的动作,而生成签名的动作要求用户是登录的,而且是实名认证的,记住[生成签名要求用户登陆且实名]。
认证中心,Token检查路由 passport/routes/check-token.js
Django 是一个用于快速开发 Web 应用程序的高级 Python Web 框架。它鼓励快速开发和干净、实用的设计。
今天准备讲解一下怎么用postman工具去实现RuoYi后台管理系统的验证码获取以及自动登录功能 。
因为自己学习了前端大部分知识,然后想自己做网站,于是学习了node.js,可不知道如何将项目发布到网上,所以花了很多天的时间,搜集了很多的资料,才将项目部署到服务器上,这里给大家分享一下我的部署过程,以免大家走弯路。
在互联网安全服务公司乙方工作的人或者进行 SRC 众测等相关渗透测试时,经常碰到客户只给一个 "xxx信息管理系统"、"xxx平台"之类的一个 Web 登录界面的系统的链接地址,其它全凭自己造化,去找漏洞吧! 我将上面讲的 "需要认证后才能进入系统进行操作,但是当前没有认证凭证"的 web 系统统一称为"封闭的 Web 系统",本文认为阅读人员有一定的渗透测试经验,并将就如何突破封闭的 Web 系统,进行探讨。分享自己的思路与常用技巧,欢迎同道中人一起交流思路。注:本文有一定的攻击性操作,仅为安全从业人员渗
在互联网安全服务公司乙方工作的人或者进行 SRC 众测等相关渗透测试时,经常碰到客户只给一个 "xxx信息管理系统"、"xxx平台"之类的一个 Web 登录界面的系统的链接地址,其它全凭自己造化,去找漏洞吧!
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
后台页面的权限验证与安全性是非常重要的,可以说是一个后台项目一开始就必须考虑和搭建的基础核心功能 我们前端所要做的是: 不同的权限对应着不同的路由,同时侧边栏也需要根据不同的权限 , 异步生成.
JavaScript,是前端开发人员必须会的一门技术,从JS演变出来的有很多框架,先说说几个热门的框架吧: JQuery:这个技术必须会,如果不会,那一定要会查api,知道怎么写,要看得懂英文文档,这
一个银行较小的系统,数据包传输的值加密处理。故扣加解密代码编写脚本,以便测试方便 。
随着现在网站研发人员的安全意识越来越高,在网站登录的用户名密码处,一般都进行了前端js加密,这个时候如果使用burpsuite暴力破解的话,必须找到js的解密函数对密码字典进行加密,但是有时候前端js代码经过了加密混淆,或者是网站的前端放置了一台动态加密防火墙设备,把网站所有页面全部动态加密(仍可绕过),这种情况下找到js解密函数是非常困难的。大约在10年前自学了易语言,易语言有专门为解决前端JS加密问题的模块,名字叫做“网页填表”,我平时也用这个模块来实现自动化的用户名密码枚举。
简单的,如果业务系统都在同一主域名下,比如 wenku.baidu.com 、 tieba.baidu.com ,就可以直接把 cookie domain 设置为主域名 baidu.com ,百度也就是这么干的
Node 是一个基于 Chrome V8 引擎的 JavaScript 运行时。
一次从子域名接管到RCE的渗透经历 前言 本文接触过作者的一次奇妙的实战经历,从子域名接管到上传Shell提权,将信息泄露漏洞和xss漏洞最终发展成rce。本文由当时存在语雀中的零散的渗透记录整理...
给如果是true,connect就会托管那些以(.)开始的UNIX文件系统中被认为是隐藏的文件。
React-Router是React生态里面很重要的一环,现在React的单页应用的路由基本都是前端自己管理的,而不像以前是后端路由,React管理路由的库常用的就是React-Router。本文想写一下React-Router的使用,但是光介绍API又太平淡了,而且官方文档已经写得很好了,我这里就用一个常见的开发场景来看看React-Router是怎么用的吧。我们一般的系统都会有用户访问权限的限制,某些页面可能需要用户具有一定的权限才能访问。本文就是用React-Router来实现一个前端鉴权模型。
简单来说,phantomjs就是一个运行在node上的webkit内核,支持DOM渲染,css选择器,Canvas,SVG等,在浏览器上能做的事情,理论上,phantomjs 都能模拟做到。 phan
简单来说,phantomjs就是一个运行在node上的webkit内核,支持DOM渲染,css选择器,Canvas,SVG等,在浏览器上能做的事情,理论上,phantomjs 都能模拟做到。
客户端发起请求->服务端响应并创建一个新的SessionID同时生成随机验证码,将验证码和SessionID一并返回给客户端->客户端提交验证码连同SessionID给服务端->服务端验证验证码同时销毁当前会话,返回给客户端结果。
我们在进行渗透测试的时候,常常会遇到许多网站站点,而有的网站仅仅是基于一个登陆接口进行处理的。尤其是在内网环境的渗透测试中,客户常常丢给你一个登陆网站页面,没有测试账号,让你自己进行渗透测试,一开始经验不足的话,可能会无从下手。今天就来简单说一下如何在只有一个登陆页面的情况下,来进行渗透测试。
唯一客服是一套Golang在线客服系统源码,可用做网页在线客服咨询软件,通用网站客服源码系统,智能机器人客服代码。同时还可用作手机app客服源代码,H5网页客服,公众号/微信小程序客服。
上个月小俊介绍了一款支持跨平台、跨终端的在线文档、知识库管理程序: MrDoc觅思文档 ,后来又在寻找有没有其他的程序,这不,美观且强大的开源Wiki程序: Wiki.js ,简单使用之后,感觉还不错,也推荐给大家,现在就教大家如何部署这款程序。
绕过宝塔面板强制登录注册的方法,宝塔不想注册的可以收藏,看了看网上的一些方法,自己也总结收集了一些方法。
看了那么多漏洞挖掘文章为什么还是挖不到漏洞?其实大多数的漏洞挖掘文章可能只能算漏洞复现文章。在这种web环境下,我觉得难的不是怎么测一个漏洞点,而是怎么找一个漏洞点。本文从挖洞过程的思路出发,完整讲述如何从0到1拿一个高危信息泄露。
前言 前文《RESTful API实战笔记(接口设计及Java后端实现)》中介绍了RESTful中后端开发的实现,主要是接口地址修改和返回数据的格式及规范的修改,本文则简单介绍一下,RESTful过程中前端代码的改变以及前后端分离的一些想法。 整合代码及修改计划 在这次的代码修改过程中,后端改动相对较大,而前端代码的改动更多的是配合后端修改,主要是请求接口的url及js的ajax请求部分,修改后的代码更加符合RESTful规范: function saveArticle() { va
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议
