Forwarded from 青鸟的频道
读到了一份很有启发性的漏洞报告 大意是指在允许用户插入富文本的情况下 如果允许插入name=xxx这个属性 根据一种叫做Dom Clobbering的特性(非常老的特性 只是因为兼容性而存在) 他将会在window和document下创建一个同名的属性 例如一个name=x的标签 将创建一个windows.x和documen.y 而有趣的是可以覆盖掉原有的函数 例如覆盖掉document.write 那么问题很显然 如果你的服务支持用户这样做 他就能通过覆盖大量原有的函数导致程序不可用 在多人场景例如聊天房间下将会让所有用户都无法使用导致dos 如有类似的场景 建议自行排查是否有类似问题
原报告 https://hackerone.com/reports/1077136
扩展阅读 https://xz.aliyun.com/t/7329
原报告 https://hackerone.com/reports/1077136
扩展阅读 https://xz.aliyun.com/t/7329
HackerOne
Slack disclosed on HackerOne: Denial of Service via Hyperlinks in...
###Summary
Via html injection its possible to override all document functions, causing the application to crash because its using the element as a function.
###Brief explanation of how its...
Via html injection its possible to override all document functions, causing the application to crash because its using the element as a function.
###Brief explanation of how its...
这么多年了,当年在我身上发生过的事情现在还是在我的眼前重现了。
妹妹因为想拿自己的手机玩会游戏,做个任务,和老妈展开了一场辩论赛。
双方各执己见,妹妹觉得不过就是一场游戏,作业做完了,家务也做了,老妈对她的要求也基本做到了。我都觉得她已经做得很好了。
但是老妈觉得她还有很多英语单词没有背,不同意她玩。而妹妹白天所做的这些事情,都是老妈这几天几度强调她要学要会做的事情。
在辩论的过程中,因为意见冲突越来越大,两人都开始有了一点魔怔,老妈越来越魔怔之后甚至开始发表她认为游戏就是人间最大的祸害,不知道游戏为什么这么上瘾的成见。
这样的事情在我初中时也发生过,当时因为喜欢玩游戏,甚至愿意在几乎没有的零花钱和早饭钱里抠出一点点去玩游戏,然后一度有一点耽误学习。
在那个时候,我的父母曾经非常的魔怔。挨了不少打也被彻底断了零花钱并且早餐钱也基本断掉了变成了在家吃,渐渐地打游戏也少了。
后来有一次在回家的路上,在一条小巷里的角落中,发现了一台摔得很惨屏幕裂了大缝的手机。当时的私心催使着我把它带回了家,藏在了自己的枕头底下。可是纸终究是包不住火的,这台手机最终还是被父母发现了。为此挨了一顿揍,他们非常魔怔的觉得我是偷来的,但是他们当时的状态,让我觉得和他们说事实是不可能沟通成功的。结果还是挨了一顿打,好在手机还是留了下来。
再之后,家里因为没有WIFI,靠着蹭邻居家的WIFI上网,还靠着上学放学走路回家省下的公交钱和给别人跑腿赚下的一点钱,买了一个非常非常老的小路由器,在自己的房间搭建了一个WIFI。
靠着这样搭建起来的小小环境,了解到了非常非常多自己想知道的知识,也认识到了一些朋友,虽然大多都不在联系了,好在最终还是保持住了最后一个人的联系。不过也因为这个原因,学习成绩就下滑了。
现在这一幕又一次的在我面前重现了,轨迹几乎一样。在之前妹妹玩上手游的时候,我就一直有意识的让她脱离手游,向着受控的主机方向转变。然而他们就开始了和我当初一样的方式,走魔怔路线。在妹妹的学习上,我原本计划采取缓和方式依赖各种文娱活动让她对学习开始有兴趣,可是他们却依然采用发号施令,不听就骂的方式做着教育强迫学习,这也导致了我所做的事情基本全变成了无用功。
妹妹因为想拿自己的手机玩会游戏,做个任务,和老妈展开了一场辩论赛。
双方各执己见,妹妹觉得不过就是一场游戏,作业做完了,家务也做了,老妈对她的要求也基本做到了。我都觉得她已经做得很好了。
但是老妈觉得她还有很多英语单词没有背,不同意她玩。而妹妹白天所做的这些事情,都是老妈这几天几度强调她要学要会做的事情。
在辩论的过程中,因为意见冲突越来越大,两人都开始有了一点魔怔,老妈越来越魔怔之后甚至开始发表她认为游戏就是人间最大的祸害,不知道游戏为什么这么上瘾的成见。
这样的事情在我初中时也发生过,当时因为喜欢玩游戏,甚至愿意在几乎没有的零花钱和早饭钱里抠出一点点去玩游戏,然后一度有一点耽误学习。
在那个时候,我的父母曾经非常的魔怔。挨了不少打也被彻底断了零花钱并且早餐钱也基本断掉了变成了在家吃,渐渐地打游戏也少了。
后来有一次在回家的路上,在一条小巷里的角落中,发现了一台摔得很惨屏幕裂了大缝的手机。当时的私心催使着我把它带回了家,藏在了自己的枕头底下。可是纸终究是包不住火的,这台手机最终还是被父母发现了。为此挨了一顿揍,他们非常魔怔的觉得我是偷来的,但是他们当时的状态,让我觉得和他们说事实是不可能沟通成功的。结果还是挨了一顿打,好在手机还是留了下来。
再之后,家里因为没有WIFI,靠着蹭邻居家的WIFI上网,还靠着上学放学走路回家省下的公交钱和给别人跑腿赚下的一点钱,买了一个非常非常老的小路由器,在自己的房间搭建了一个WIFI。
靠着这样搭建起来的小小环境,了解到了非常非常多自己想知道的知识,也认识到了一些朋友,虽然大多都不在联系了,好在最终还是保持住了最后一个人的联系。不过也因为这个原因,学习成绩就下滑了。
现在这一幕又一次的在我面前重现了,轨迹几乎一样。在之前妹妹玩上手游的时候,我就一直有意识的让她脱离手游,向着受控的主机方向转变。然而他们就开始了和我当初一样的方式,走魔怔路线。在妹妹的学习上,我原本计划采取缓和方式依赖各种文娱活动让她对学习开始有兴趣,可是他们却依然采用发号施令,不听就骂的方式做着教育强迫学习,这也导致了我所做的事情基本全变成了无用功。
啊!!!网易nmsl。大下午的上着班。一个电话过来,音乐!起! 哼。我是海马濑人(汉语的haimalairen…),还不知道是哪里找了个配音配的…真搞个KAIBASETO也能听得下去啊…真就阴间营销。
Forwarded from ibuki🏖🔭🎮帰宅部 (伊吹 翼⣗ いぶき つばさ)
This media is not supported in your browser
VIEW IN TELEGRAM
Windows 资源管理器中如需要添加Webdav存储,需要在服务中,启动WebClient服务,并且设置为自动启动,之后在注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters路径下的BasicAuthLevel项的值设置为2,然后重启WebClient服务。之后即可在资源管理器中映射HTTP/HTTPS的WebDav
Forwarded from 但如今的我们已是达拉姆,团结而统一,没有人能击垮我们的意志! (神林(GPG: A86F2BF9569C54D0) | 穷狗+废物 | 全自动仿真喷人bot)
SSH配置文件机制:
服务端:加载/etc/ssh/sshd_config 后加载 /etc/ssh/sshd_config.d/* 最后加载 ~/.ssh/sshd_config 后者覆盖前者
客户端:加载/etc/ssh/ssh_config 后加载 /etc/ssh/ssh_config.d/* 最后加载 ~/.ssh/config 后者覆盖前者
SSH公私钥认证机制:
服务端:私钥一般存储于 /etc/ssh/ssh_host_(dsa|rsa|ed25519|ecdsa)_key
服务端:公钥一般存储于 /etc/ssh/ssh_host_(dsa|rsa|ed25519|ecdsa)_key.pub
服务端公私钥路径修改方式:sshd_config 文件 行 HostKey
客户端:私钥一般存储于 ~/.ssh/id_(dsa|rsa|ed25519|ecdsa).key
客户端:公钥一般存储于 ~/.ssh/id_(dsa|rsa|ed25519|ecdsa).pub
支持GPG agent和 SSH agent 服务器模式安全保存公私钥
如:GPG 文件 ~/.gnupg/S.gpg-agent 等 11个文件
客户端公私钥路径修改方式:ssh_config 文件 Host * 节点 行 IdentityFile
客户端保存服务端公钥路径:~/.ssh/known_hosts
服务端保存客户端公钥路径:~/.ssh/authorized_keys
客户端设置不保存服务器公钥方法:
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
在任意tty中启用gpg-agent使ssh可以通过gpg获取私钥的方法:
客户端配置文件:
Match host * exec "gpg-connect-agent UPDATESTARTUPTTY /bye"
客户端命令行rc类的任意文件
export GPG_TTY=$(tty)
export SSH_AUTH_SOCK=$(gpgconf --list-dirs agent-ssh-socket)
export GNUPGHOME=$HOME/.gnupg