w1100n
This site is best viewed in Google Chrome
wiloon, 12/17/2018 15:33

https://blog.csdn.net/zhujq_icode/article/details/79154063 https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project https://github.com/GDSSecurity/AntiXSS-for-Java AntiSamy 策略文件 antisamy-tinymce.xml,这种策略只允许传送纯文本到后台(这样做真的好吗?个人觉得这个规则太过严格),并且对请求头和请求参数都做了XSS转码。请注意这里,我们相对于参考链接中源码不同的处理方式在于:我们对请求头也进行了编码处理。 antisamy-slashdot.xml Slashdot (http://www.slashdot.org/)是一个提供技术新闻的网站,它允许用户用有限的HTML格式的内容匿名回帖。 Slashdot不仅仅是目前同类中最酷的网站之一,而且同时也曾是最容易被成功攻击的网站之一。更不幸的是,导致大部分用户遭受攻击的原由是臭名昭着的goatse.cx 图片(请你不要刻意去看)。 Slashdot的安全策略非常严格:用户只能提交下列的html标签: <b>, <u>, <i>, <a>, <blockquote> 并且还不支持CSS. 因此我们创建了这样的策略文件来实现类似的功能。它允许所有文本格式的标签来直接修饰字体、颜色或者强调作用。 antisamy-ebay.xml 众所周知,eBay (http://www.ebay.com/)是当下最流行的在线拍卖网站之一。它是一个面向公众的站点,因此它允许任何人发布一系列富HTML的内容。 我们对eBay成为一些复杂XSS攻击的目标,并对攻击者充满吸引力丝毫不感到奇怪。由于eBay允许输入的内容列表包含了比Slashdot更多的富文本内容,所以它的受攻击面也要大得多。下面的标签看起来是eBay允许的(eBay没有公开标签的验证规则):,… antisamy-myspace.xml MySpace (http://www.myspace.com/)是最流行的一个社交网站之一。用户允许提交几乎所有的他们想用的HTML和CSS,只要不包含JavaScript。 MySpace现在用一个黑名单来验证用户输入的HTML,这就是为什么它曾受到Samy蠕虫攻击(http://namb.la/)的原因。Samy蠕虫攻击利用了一个本应该列入黑名单的单词(eval)来进行组合碎片攻击的,其实这也是AntiSamy立项的原因。 antisamy-anythinggoes.xml 我也很难说出一个用这个策略文件的用例。如果你想允许所有有效的HTML和CSS元素输入(但能拒绝JavaScript或跟CSS相关的网络钓鱼攻击),你可以使用这个策略文件。其实即使MySpace也没有这么疯狂。然而,它确实提供了一个很好的参考,因为它包含了对于每个元素的基本规则,所以你在裁剪其它策略文件的时候可以把它作为一个知识库。 作者:系统信息 来源:CSDN 原文:https://blog.csdn.net/softwave/article/details/53761796 版权声明:本文为博主原创文章,转载请附上博文链接 https://www.cnblogs.com/Kidezyq/p/9862547.html

nfs
wiloon, 12/16/2018 16:36

sudo pacman -S nfs-utils mkdir -p /data/nfs/tmp /mnt/nfs/tmp mount –bind /mnt/nfs/tmp /data/nfs/tmp vim /etc/fstab /mnt/nfs/tmp /data/nfs/tmp none bind 0 0 vim /etc/exports /data/nfs 192.168.100.0/24(rw,async,crossmnt,fsid=0) /data/nfs/tmp 192.168.100.0/24(rw,sync) exportfs -rav exportfs -v sudo systemctl start nfs-server # client mount -t nfs -o … Continue reading

wiloon, 12/16/2018 10:09

sudo pacman -S gvim #复制到系统粘贴板 “+y #从系统粘贴板粘贴 “+p https://blog.csdn.net/dadoneo/article/details/6003415 用vim这么久 了,始终也不知道怎么在vim中使用系统粘贴板,通常要在网上复制一段代码都是先gedit打开文件,中键粘贴后关闭,然后再用vim打开编辑,真的不 爽;上次论坛上有人问到了怎么在vim中使用系统粘贴板,印象里回复很多,有好几页的回复却没有解决问题,今天实在受不了了又在网上找办法,竟意外地找到 了,贴出来分享一下。 如果只是想使用系统粘贴板的话直接在输入模式按Shift+Inset就可以了,下面讲一下vim的粘贴板的基础知识,有兴趣的可以看看,应该会有所收获的。 vim帮助文档里与粘贴板有关的内容如下: vim(我这是GVIM)有17个粘贴板,分别是”、 0、1、2、…、9、-、、+、. 、 : 、/:: ;用:reg命令可以查看各个粘贴板里的内容。在vim中简单用y只是复制到“(双引号)粘贴板里,同样用p粘贴的也是这个粘贴板里的内容; 要将vim的内容复制到某个粘贴板,需要退出编辑模式,进入正常模式后,选择要复制的内容,然后按”Ny完成复制,其中N为粘贴板号(注意是按一下双引号然后按粘贴板号最后按y),例如要把内容复制到粘贴板a,选中内容后按”ay就可以了,有两点需要说明一下: VIM内部(”):”号粘贴板(临时粘贴板)比较特殊,直接按y就复制到这个粘贴板中了,直接按p就粘贴这个粘贴板中的内容(也可以说是VIM专用吧); 与外部程序交互(/+):+号粘贴板是系统粘贴板,用”+y将内容复制到该粘贴板后可以使用Ctrl+V将其粘贴到其他文档(如firefox、gedit)中,同理,要把在其他地方用Ctrl+C或右键复制的内容复制到vim中,需要在正常模式下按”+p; 要将vim某个粘贴板里的内容粘贴进来,需要退出编辑模式,在正常模式按”Np,其中N为粘贴板号,如上所述,可以按”5p将5号粘贴板里的内容粘贴进来,也可以按”+p(“+* 也行)将系统全局粘贴板里的内容粘贴进来。 我用的是GVIM,可能与某些帖子说的不一样,但大体操作还是一样的。好了,现在可以完美运用VIM复制粘贴了,再也不用慢腾腾地点鼠标了。 The vim package is built without Xorg support; specifically the +clipboard feature is … Continue reading

wiloon, 12/14/2018 16:47

Nginx的缓冲配置 请求缓冲在Nginx请求处理中扮演了重要的角色。当收到一条请求时,Nginx将请求写入缓冲当中。缓冲中的数据成为Nginx的变量,比如$request_body。如果缓冲容量比请求容量小,那么多出来的请求会被写入硬盘,这时便会有I/O操作。Nginx提供了多个directive来修改请求缓冲。 client_body_buffer_size 这个directive设定了request body的缓冲大小。如果body超过了缓冲的大小,那么整个body或者部分body将被写入一个临时文件。如果Nginx被设置成使用文件缓冲而不使用内存缓冲,那么这个dirctive就无效。client_body_buffer_size在32位系统上默认是8k,在64位系统上默认是16k。可以在http, server 和 location模块中指定,如下: server { client_body_buffer_size 8k; } client_max_body_size 这个directive设定Nginx可以处理的最大request body大小。如果收到的请求大于指定的大小,那么Nginx会回复HTTP 413错误(Request Entity too large)。如果web服务器提供大文件上传的话,那么设置好这个directive很重要。 Nginx默认为这个directive设定的值是1m,可以在http, server 和 location模块中定义,例如: server { client_max_body_size 2m; } client_body_in_file_only 启用这个directive会关闭Nginx的请求缓冲,将request body存储在临时文件当中,在http, server 和 location模块中定义。它可以有三个值: off: 禁止文件写入 clean: request body将被写入文件,文件在请求处理完成后删除 … Continue reading

wiloon, 12/14/2018 16:03

Web应用防火墙是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备的一款产品 。 Web防火墙产品部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必须的,而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。­ Web应用防火墙主要是对Web特有入侵方式的加强防护,如DDoS防御、SQL注入、XML注入、XSS等。 https://zhuanlan.zhihu.com/p/32465541

wiloon, 12/14/2018 15:44

https://blog.csdn.net/zhujq_icode/article/details/79154063 策略文件 antisamy-slashdot.xml  Slashdot (http://www.slashdot.org/)是一个提供技术新闻的网站,它允许用户用有限的HTML格式的内容匿名回帖。 Slashdot不仅仅是目前同类中最酷的网站之一,而且同时也曾是最容易被成功攻击的网站之一。更不幸的是,导致大部分用户遭受攻击的原由是臭名昭着的goatse.cx 图片(请你不要刻意去看)。 Slashdot的安全策略非常严格:用户只能提交下列的html标签:, , , , < blockquote>,并且还不支持CSS.因此我们创建了这样的策略文件来实现类似的功能。它允许所有文本格式的标签来直接修饰字体、颜色或者强调作用。 antisamy-ebay.xml  众所周知,eBay (http://www.ebay.com/)是当下最流行的在线拍卖网站之一。它是一个面向公众的站点,因此它允许任何人发布一系列富HTML的内容。我们对eBay成为一些复杂XSS攻击的目标,并对攻击者充满吸引力丝毫不感到奇怪。由于eBay允许输入的内容列表包含了比Slashdot更多的富文本内容,所以它的受攻击面也要大得多。 antisamy-myspace.xml  MySpace (http://www.myspace.com/)是最流行的一个社交网站之一。用户允许提交几乎所有的他们想用的HTML和CSS,只要不包含JavaScript。MySpace现在用一个黑名单来验证用户输入的HTML,这就是为什么它曾受到Samy蠕虫攻击(http://namb.la/)的原因。Samy蠕虫攻击利用了一个本应该列入黑名单的单词(eval)来进行组合碎片攻击的,其实这也是AntiSamy立项的原因。 antisamy-anythinggoes.xml  如果你想允许所有有效的HTML和CSS元素输入(但能拒绝JavaScript或跟CSS相关的网络钓鱼攻击),你可以使用这个策略文件。其实即使MySpace也没有这么疯狂。然而,它确实提供了一个很好的参考,因为它包含了对于每个元素的基本规则,所以你在裁剪其它策略文件的时候可以把它作为一个知识库。 antisamy-tinymce.xml 只允许文本格式通过,相对较安全 antisamy.xml 默认规则,允许大部分HTML通过 作者:flying_pig1989 来源:CSDN 原文:https://blog.csdn.net/zhujq_icode/article/details/79154063 版权声明:本文为博主原创文章,转载请附上博文链接!

wiloon, 12/13/2018 14:38

跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页之时,嵌入其中Web里面的javaScript代码会被执行,从而达到恶意攻击用户的目的。 XSS攻击的分类 1、反射型 又称为非持久性跨站点脚本攻击。漏洞产生的原因是攻击者注入的数据反映在响应中。非持久型XSS攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。也就是我上面举的那个简单的XSS攻击案例,通过url参数直接注入。然后在响应的数据中包含着危险的代码。 当黑客把这个链接发给你,你就中招啦! 2、存储型 又称为持久型跨站点脚本,它一般发生在XSS攻击向量(一般指XSS攻击代码)存储在网站数据库,当一个页面被用户打开的时候执行。持久的XSS相比非持久性XSS攻击危害性更大,容易造成蠕虫,因为每当用户打开页面,查看内容时脚本将自动执行。 该网页有一个发表评论的功能,该评论会写入后台数据库,并且访问主页的时候,会从数据库中加载出所有的评论。 XSS: 通过客户端脚本语言(最常见如:JavaScript) 在一个论坛发帖中发布一段恶意的JavaScript代码就是脚本注入,如果这个代码内容有请求外部服务器,那么就叫做XSS! CSRF:又称XSRF,冒充用户发起请求(在用户不知情的情况下),完成一些违背用户意愿的请求(如恶意发帖,删帖,改密码,发邮件等)。 XSS更偏向于方法论,CSRF更偏向于一种形式,只要是伪造用户发起的请求,都可成为CSRF攻击。 通常来说CSRF是由XSS实现的,所以CSRF时常也被称为XSRF[用XSS的方式实现伪造请求](但实现的方式绝不止一种,还可以直接通过命令行模式(命令行敲命令来发起请求)直接伪造请求[只要通过合法验证即可])。 XSS更偏向于代码实现(即写一段拥有跨站请求功能的JavaScript脚本注入到一条帖子里,然后有用户访问了这个帖子,这就算是中了XSS攻击了),CSRF更偏向于一个攻击结果,只要发起了冒牌请求那么就算是CSRF了。 https://github.com/OWASP?page=5 https://github.com/owasp/java-html-sanitizer https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project https://mvnrepository.com/artifact/org.owasp.antisamy/antisamy https://github.com/GDSSecurity/AntiXSS-for-Java https://segmentfault.com/a/1190000007059639 https://www.freebuf.com/sectool/134015.html https://blog.csdn.net/ru_li/article/details/51334082 https://blog.csdn.net/zer0_o/article/details/28399533

nuc
wiloon, 12/11/2018 8:29

nuc5i5ryh Intel® Core™ i5-5250U Processor (3M Cache, up to 2.70 GHz) nuc7i5bnk Intel® Core™ i5-7260U Processor (4M Cache, up to 3.40 GHz) nuc8i5bek Intel® Core™ i5-8259U Processor (6M Cache, up to 3.80 GHz)

wiloon, 12/9/2018 22:53

Start ssh-agent with systemd user vim ~/.config/systemd/user/ssh-agent.service [Unit] Description=SSH key agent [Service] Type=simple Environment=SSH_AUTH_SOCK=%t/ssh-agent.socket ExecStart=/usr/bin/ssh-agent -D -a $SSH_AUTH_SOCK [Install] WantedBy=default.target vim ~/.pam_environment SSH_AUTH_SOCK DEFAULT=”${XDG_RUNTIME_DIR}/ssh-agent.socket” # Then enable or start the service. systemctl –user enable ssh-agent https://wiki.archlinux.org/index.php/Systemd/User https://wiki.archlinux.org/index.php/SSH_keys

wiloon, 12/8/2018 21:38

# boot with iso-usb ls /sys/firmware/efi dmesg |grep sdx lsblk gdisk /dev/sdx o y n EF00 n w y /dev/sdx1 512M EFI /dev/sdx2 xxxxM ext4 mkfs.vfat /dev/sdx1 mkfs.ext4 /dev/sdx2 mount /dev/sdx2 /mnt mkdir /mnt/boot mount/dev/sdx1 /mnt/boot pacstrap /mnt arch-chroot /mnt … Continue reading

wiloon, 12/6/2018 23:17

server # 设定server端虚拟出来的网段 server 10.8.0.0 255.255.255.0 # 设置日志文件冗余级别(0~9)。 # 0 表示静默运行,只记录致命错误。 # 4 表示合理的常规用法。 # 5 和 6 可以帮助调试连接错误。 # 9 表示极度冗余,输出非常详细的日志信息。 verb 3 # private key key keys/server.key # This file should be kept secret # 验证客户端证书是否合法 ca keys/ca.crt … Continue reading

wiloon, 12/4/2018 13:48

# add password openssl rsa -in [foo.key] -aes256 -passout pass:xxxxxx -out out.key #remove a private key password openssl rsa -in [file1.key] -out [file2.key]

wiloon, 12/3/2018 15:08

https://git-scm.com/book/zh/v2

wiloon, 11/28/2018 14:08

https://docs.docker.com/install/linux/docker-ce/centos/ [code lang=shell] yum install -y yum-utils \ device-mapper-persistent-data \ lvm2 sudo yum-config-manager \ –add-repo \ https://download.docker.com/linux/centos/docker-ce.repo yum install docker-ce [/code]

wiloon, 11/27/2018 13:28

https://github.com/mje-nz/rpi-docker-openvpn https://github.com/kylemanna/docker-openvpn [code lang=shell] export OVPN_DATA="ovpn-data" docker volume create –name $OVPN_DATA # gen config docker run -v $OVPN_DATA:/etc/openvpn –log-driver=none –rm mjenz/rpi-openvpn ovpn_genconfig -u udp://xxx.wiloon.com # init pki docker run -v $OVPN_DATA:/etc/openvpn –log-driver=none –rm -it mjenz/rpi-openvpn ovpn_initpki # start server docker … Continue reading

wiloon, 11/26/2018 17:03

https://github.com/idoop/zentao https://github.com/iboxpay/ldap 下载iboxpay/ldap 扩展, 作为插件安装。此插件会安装三个文件 /opt/zentao/lib/ldap/ldap.class.php /opt/zentao/module/user/ext/config/ldap.php /opt/zentao/module/user/ext/model/ldap.php 参照 https://blog.csdn.net/BigBoySunshine/article/details/80502068 修改 /opt/zentao/module/user/ext/config/ldap.php [code lang=shell] $config->ldap->ldap_server $config->ldap->ldap_root_dn $config->ldap->ldap_bind_dn $config->ldap->ldap_bind_passwd [/code] /opt/zentao/lib/ldap/ldap.class.php [code lang=shell] if ( @ldap_bind( $t_ds, "{$t_info[$i]['dn']}", $p_password ) ) { [/code] /opt/zentao/module/user/js/login.js [code lang=shell] if(password.length != 32 && typeof(md5) … Continue reading

wiloon, 11/26/2018 14:06

https://www.cyberciti.biz/faq/ping-test-a-specific-port-of-machine-ip-address-using-linux-unix/ [code lang=shell] # check for tcp port ## ## need bash shell ## echo >/dev/tcp/{host}/{port} (echo >/dev/tcp/{host}/{port}) &>/dev/null && echo "open" || echo "close" (echo >/dev/udp/{host}/{port}) &>/dev/null && echo "open" || echo "close" (echo >/dev/tcp/www.cyberciti.biz/22) &>/dev/null && echo "Open … Continue reading

wiloon, 11/25/2018 16:40

https://kevinguo.me/2017/07/06/Docker-configuring-logging-drivers/

wiloon, 11/24/2018 22:54

Docker comes to Raspberry Pi [code lang=shell] curl -sSL https://get.docker.com | sh [/code]

next page
辽ICP备14012896