Rick

利用script标签执行js 1<script>alert(1)</script> 字符串用" ’ 包裹都行 采用on事件方法 on事件不用单引号或双引号也可以触发，但是必须闭合标签内的引号 12<onclick=alert(1)> =>点击就会触发<onmouseover=alert(1)> =>鼠标移动触发 很多HTML标记中的属性都支持javascript:[code]伪协议的形式，这就给了注入XSS可乘之机,例如： 1<img src = "javascript:alert(‘xss‘);"> 这里即便对传入的参数过滤了<>,XSS还是能发生(前提是该标签属性需要引用文件) 采用a标签来做到xss 1<a href="javascript:alert(1)" > 假设过滤函数进一步又过滤了javascript等敏感字符串，只需对javascript进行小小的操作即可绕过，例如： 1<img src=...

2019CISCN web题赛-JustSoSo 其中反序列化用到了引用来绕过md5 PHP 序列化（serialize）格式详解 前言 概述 NULL 和标量类型的序列化 简单复合类型的序列化 嵌套复合类型的序列化 自定义对象序列化 Unicode 字符串的序列化 参考文献 1．前言 PHP （从 PHP 3.05 开始）为保存对象提供了一组序列化和反序列化的函数：serialize、unserialize。 2．概述 PHP 序列化后的内容是简单的文本格式，但是对字母大小写和空白（空格、回车、换行等）敏感，而且字符串是按照字节（或者说是 8 位的字符）计算的，因此，更合适的说法是 PHP 序列化后的内容是字节流格式。因此用其他语言实现时，如果所实现的语言中的字符串不是字节储存格式，而是 Unicode 储存格式的话，序列化后的内容不适合保存为字符串，而应保存为字节流对象或者字节数组，否则在与 PHP 进行数据交换时会产生错误。 PHP 对不同类型的数据用不同的字母进行标示，Yahoo 开发网站提供的 Using Serialized PHP with...

If-Unmodified-Since HTTP协议中的 If-Unmodified-Since 消息头用于请求之中，使得当前请求成为条件式请求：只有当资源在指定的时间之后没有进行过修改的情况下，服务器才会返回请求的资源，或是接受 POST 或其他 non-safe 方法的请求。如果所请求的资源在指定的时间之后发生了修改，那么会返回 412 (Precondition Failed) 错误。 常见的应用场景有两种： 与 non-safe 方法如 POST 搭配使用，可以用来优化并发控制，例如在某些wiki应用中的做法：假如在原始副本获取之后，服务器上所存储的文档已经被修改，那么对其作出的编辑会被拒绝提交。 与含有 If-Range 消息头的范围请求搭配使用，用来确保新的请求片段来自于未经修改的文档。 指令 "Mon", "Tue", "Wed", "Thu", "Fri", "Sat" 或 "Sun" 之一 （区分大小写）。 两位数字表示的天数, 例如"04" or "23"。 "Jan", "Feb", "Mar", "Apr",...

您细品～ 1234567891011121314151617#include <iostream>using namespace std;int main(){ int arr[] = { 6, 7, 8, 9, 10 }; int *ptr = arr; //ptr指向6 *(ptr++) += 123;//先执行6+123，然后ptr指向7 printf("%d,%d\n", *ptr, *(++ptr));//先执行ptr+4使得ptr指向8，然后把ptr压栈2次 printf("%d,%d,%d,%d,%d\n", *ptr--,*ptr+20, *(ptr--), *ptr, *(++ptr)); int i = 5; char ch = 't'; char str[10] = "test"; printf("%s %c %d\n", str, ch, i); printf("%d %d %d %d\n",...

一个进程，包括代码、数据和分配给进程的资源。fork（）函数通过系统调用创建一个与原来进程几乎完全相同的进程， 也就是两个进程可以做完全相同的事，但如果初始参数或者传入的变量不同，两个进程也可以做不同的事。 一个进程调用fork（）函数后，系统先给新的进程分配资源，例如存储数据和代码的空间。然后把原来的进程的所有值都复制到新的新进程中，只有少数值与原来的进程的值不同。相当于克隆了一个自己。 fork调用的一个奇妙之处就是它仅仅被调用一次，却能够返回两次，它可能有三种不同的返回值： 1）在父进程中，fork返回新创建子进程的进程ID； 2）在子进程中，fork返回0； 3）如果出现错误，fork返回一个负值； 在fork函数执行完毕后，如果创建新进程成功，则出现两个进程，一个是子进程，一个是父进程。在子进程中，fork函数返回0，在父进程中， fork返回新创建子进程的进程ID。我们可以通过fork返回的值来判断当前进程是子进程还是父进程。 引用一位网友的话来解释fpid的值为什么在父子进程中不同。“其实就相当于链表，进程形成了链表，父进程的fpid(p...

Docker官网 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263version: '2'services: # 基本环境 nginx: container_name: "nginx" image: nginx build: ./nginx command: nginx -g 'daemon off;' restart: always # 数据卷 volumes: - "$PWD/nginx/code:/usr/share/nginx/html" - "$PWD/nginx/nginx.conf:/etc/nginx/nginx.conf" -...

那就坏了吧… 把本地的做个备份 把本地的删了！ 远程克隆过来！ 简单粗暴！ok！

zxczxc

A记录： 将域名指向一个IPv4地址（例如：100.100.100.100），需要增加A记录 CNAME记录： 如果将域名指向一个域名，实现与被指向域名相同的访问效果，需要增加CNAME记录。这个域名一般是主机服务商提供的一个域名 MX记录： 建立电子邮箱服务，将指向邮件服务器地址，需要设置MX记录。建立邮箱时，一般会根据邮箱服务商提供的MX记录填写此记录 NS记录： 域名解析服务器记录，如果要将子域名指定某个域名服务器来解析，需要设置NS记录 TXT记录： 可任意填写，可为空。一般做一些验证记录时会使用此项，如：做SPF（反垃圾邮件）记录 AAAA记录： 将主机名（或域名）指向一个IPv6地址（例如：ff03:0:0:0:0:0:0:c1），需要添加AAAA记录 SRV记录： 添加服务记录服务器服务记录时会添加此项，SRV记录了哪台计算机提供了哪个服务。格式为：服务的名字.协议的类型（例如：_example-server._tcp）。 SOA记录： SOA叫做起始授权机构记录，NS用于标识多台域名解析服务器，SOA记录用于在众多NS记录中那一台是主服务器 PTR记录：...

今天看hackgame2019时发现有一个题用到了一个非常奇葩的语言-- Whitespace,于是乎搜了一下，发现确实奇葩 下面内容来自开源中国 什么是“Whitespace”编程语言? 大多数的编程语言都会忽略代码中的空白字符(空格，tab，换行符)，有它们没它们都是一样的。但有人却认为这不公平，认为这些无形的字符也应该被 友好的受到重视。只是因为看不见它们就忽略它们的存在吗？于是，“Whitespace”编程语言就这样诞生了。“Whitespace”是专门来弥补普 通编程语言中歧视，它给予这些空白字符最重要的地位。在“Whitespace”编程语言中，任何非空白的字符都是被忽略的，只有空格符，tab和换行符...