本质上是一个存储型
XSS漏洞。通过XSS漏洞可以构造恶意js代码,在代码触发时自动发送添加计划任务的请求,从而实现 RCE
XSS
我们直接在用户名的地方填写我们的 xss 地址,点击登录即可
本质上是一个存储型
XSS漏洞。通过XSS漏洞可以构造恶意js代码,在代码触发时自动发送添加计划任务的请求,从而实现 RCE
我们直接在用户名的地方填写我们的 xss 地址,点击登录即可
如果反序列化过程中用户对某些参数可控,从而控制内部的变量设置函数,那就可以利用反序列化构造攻击。
1 | |
由于Android 7.0 之后不在信任用户证书,无法抓取 HTTPS 请求,根据网上的教程配置了一番无法配置成功,干脆使用了 Android 5.0 ,同时微信版本不要太高,貌似最新版本不兼容 Android 5.0,一直崩溃。
近期遇到了一个需求,需要将 Excel类型 的题库导入数据库中(具体格式如下图所示),百度了一番找到了一个合适的库 PhpSpreadsheet
PhpSpreadsheet 是一个用纯 PHP 编写的库,它提供了一组类,允许您读取和写入各种电子表格文件格式,例如 Excel 和 LibreOffice Calc。
WebSocket是一种在单个TCP连接上进行全双工通信的协议,允许服务端主动向客户端推送数据。
最近在开发 MoeCTF 中的 公告实时推送 功能,本来想通过 轮询 实现,但是想了一下 轮询 是客户端主动向服务端发送请求,如果单个用户感觉还行,但如果在线的用户过多均通过 轮询 的方式进行请求,那么不仅会造成大量无用请求导致负载过高。