漏洞netatalk思路2018

原创总结/朱季谦 设计一款可扩展和基于windows系统的一键处理表格小工具思路 日常开发当中，业务人员经常会遇到一些重复性整理表格的事情，这时候，就可以通过一些方式进行自动化程序处理，提高工作（摸鱼）效率。 例如，业务人员有这样需要，日常需要手工整理以下原始xlsx表格数据，这些数据格式都是固定死 ......

前言 最近看到许少的推有说到Zip Slip这个漏洞导致的RCE，其实我在代码审计的时候确实发现有不少功能模块都是使用ZIP来解压，其实还是在真实系统中经常见到的。 于是想着好久没有写过博客了，想借着这次机会更新一下吧，免得读者以为我在偷懒没学习了~ Zip Slip是什么漏洞 Zip Slip是一 ......

记不得是在什么地方，我看过一个调查。调查的问题就是请大家选出最近几年里，自认为光景最好的一年。统计结果显示：大部分人会选择2018。这一年疫情还没来，世界基本没有大战的新闻，也基本 没有什么天灾。可以说是很安稳的一年。但这一年对于我来说，不仅发生了翻天覆地的变化，这些变化更影响了我的一生。这一切要从 ......

近期产品要支持国际化多语言，主要涉及前端界面国际化以及后端提示信息、异常信息的国际化多语言支持。 目前我们的开发技术栈：前端VUE、后端.NET。面向前端界面和后端服务，分别涉及对应的国际化多语言支持方案。 一、前端界面国际化多语言支持 前端VUE界面的源码如下： 上述代码中，我们将需要多语言支持的 ......

前言 这个RCE漏洞利用链的实现是由几个逻辑洞的结合而导致的，这几天我花了一些时间复现了一遍，在此记录一下。 固件解压 我下载的是RV345 v1.0.03.24，从官网下载到压缩包解压之后可以看到它的rootfs是ubi格式的img。之前我都是使用kali里的 binwalk 对其进行解压可以直接 ......

1、背景 数据开发、数据仓库工作和业务系统开发工作很大的一个不同是，业务系统功能开发一旦完成并通过测试，一般就可以比较稳定地长期运行，因为它的输入是相对稳定的。但是数据仓库开发加工的数据模型、数据指标和分析结论，却很难保持稳定。因为输入数据每天都在源源不断产生，很难保证数据没有大的波动，而输入的不稳 ......

Windows服务 1.不安全的服务文件权限或路径 基本原理 Windows服务是一种在后台运行的计算机程序，它在概念上类似于Unix守护进程。 每个Windows服务都将其可执行文件的路径存储在称为BINARY_PATH_NAME的变量中。当启动服务时，会检查此变量并执行其下设置的.exe文件。 ......

这篇文章将会带大家详细梳理和理解Kerberos的设计思路。 Basic 为了减轻服务器的负担，我们需要设计一个专门的认证服务器AS，储存所有用户的口令，认证了用户身份之后再通知应用服务器 引入ticket：客户把自己的ID（IDc)，要访问的服务器的ID (IDv) 和自己的口令 (Pc) 发给A ......

背景 我们的业务共使用11台(阿里云)服务器,使用SpringcloudAlibaba构建微服务集群,共计60个微服务,全部注册在同一个Nacos集群 流量转发路径: nginx->spring-gateway->业务微服务 使用的版本如下: spring-boot.version:2.2.5.RE ......

前言 WordPress 是一种使用 PHP 语言开发的博客平台，用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也算是一个内容管理系统（CMS） ###环境搭建 docker环境 （搭建可参考：https://www.cnblogs.com/BlogVice-2203/ ......

之前写2022年度总结的时候，有提到要给大家分享漏洞挖掘技巧。这里简单分享一些思路，更多的内容需要大家举一反三。 文章准备昨晚写的，昨天晚上出去唱歌，回来太晚了，耽搁了。昨天是我工作的last day，心里还是有点难受的。我想了想，人生大抵如此。在短暂的生命中，认识不同的人，和他们相识到相知，再到离 ......

在 Lua 或者 Python 中可以使用多值赋值语句来交换两个数。例如：a, b = b, a。在 C++ 中有没有类似的操作？ 先解析一下多值赋值的原理，a, b = b, a 等价于 t1, t2 = b, a a, b = t1, t2 可以看到多值赋值还是用到了中间变量，而且还是两个。想到 ......

前言 序列化是将变量或对象转换成字符串的过程 反序列化就是把一个对象变成可以传输的字符串，目的就是为了方便传输 而反序列化漏洞就是，假设，我们写了一个class，这个class里面存有一些变量。当这个class被实例化了之后，在使用过程中里面的一些变量值发生了改变，之所以会产生反序列化漏洞是因为应用 ......

##前言 Active Directory 域服务，是一种目录服务，提供了存储目录数据信息以及用户相关的一些密码，电话号码等等一些数据信息，且可让用户和管理员使用这些数据，有利于域管理员对用户的数据信息进行管理。 AD CS (Active Directory Certipy Server)是允许你 ......

前言 SQL注入的原理是对web请求，表单或域名等提交查询的字符串没有进行安全检测过滤，攻击者可以拼接执行恶意SQL命令，导致用户数据泄露 漏洞原理 Django 组件存在 SQL 注入漏洞，该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足，攻击者可利用该漏洞在未授权的 ......

作者：馒头，博客地址：https://www.cnblogs.com/mantou0/ 出身： 作为一名安全人员，工具的使用是必不可少的，有时候开发一些自己用的小工具在渗透时能事半功倍。在平常的渗透测试中和SRC漏洞挖掘中Brupsuite使用的比较多的于是我有了一个小想法。 思路： 1、在服务器上 ......

Django框架 一、Ajax补充说明 1、针对前端回调函数接受值的说明 主要针对回调函数args接收到的响应数据 1、后端如何判断请求发出方式 关键词：is_ajax() 通过request点的方式可以判断请求是否由Ajax发出 def home(request): print(request.i ......

在Redis运维过程中，由于bigkey的存在，会影响业务程序的响应速度，严重的还会造成可用性损失，DBA也一直和业务开发方强调bigkey的规避方法以及危害 ......