60
cnskis
Guardian
前排打手
谁还不是宝宝呢!?
部落格
正义使者
捣蛋鬼
2Libra 赞助者
马上来
夜猫
等级丰碑
观点不错
守护者
寻找平衡
都听我说!
讲故事的人
种子用户
1 关注14 被关注
1262 号用户
Lv.10
加入时间:2025-10-23

天气网有防盗链相关措施,尝试加上 referer,ua 请求头,另外这个返回的是文本,不是 xml 格式,详见正文相关说明

腊月二十七,可以了,按国家规定还得延后,你这是提前了,抢票只能多上候补,不行就中转,再不行就飞机。

看看你的网络,我是默认有梯子,如果境内直接访问,因为有 cf 减速,有些加载会很慢。

评论帖子论坛的主题不能保存吗?

缓存在本地的,是不是清理了网站缓存或者浏览器缓存。

@jolon @libra2 经过我的最终投票后,平票揭晓答案,图中程序是一个典型的输入内容长度未控制(很多系统漏洞、二进制漏洞都能看到这个说法),导致缓冲区溢出,严重的可以导致任意命令执行。
原理是利用溢出内容覆盖某函数的返回方法地址(函数返回方法存储的寄存器),函数执行完毕时会调用返回,将 print 方法的返回地址覆盖为 getme 的入口地址,就实现了调用 getme 方法。
又称:缓冲区溢出漏洞
首先要得到 getme 的入口地址,这个涉及到 PE 文件结构和操作系统原理。
image
使用分析工具分析内存偏移量(都是可以计算出来的)
虽然定义 id 变量长度为 20,但是 scanf 是一个不安全的方法,可以一直读取,输入到 40 个字符的时候,缓冲区溢出,堆栈到了 ESP 区域,后面是 getme 的入口内存偏移地址,写入到 print 方法的返回地址。
那么就调用了 getme 方法。
image
缓冲区填充和栈的生长示意图

还有没有投票的,再来几个揭晓答案。

之前自己封装了城市 id 的 api,不过要下线那个服务了,后面要迁移到其他地方。

看你的选择是选择相信 ai 了,不相信自己doge

那么执行结果应该是 Your ID is:和 Please 这两行对吧。doge

我发的东西很杂,不一定都是喜欢的,不用特意关注,以前发信息安全的多点,现在也会发一些编程的,前几天看到有朋友不了解建站,所以也会发一些以前的建站经验。

是不是还要我的异火?

没必要特别高清,你用 QQ 发一遍都给你压缩了,腾讯的压缩算法还可以,或者用 png 压缩,有损压一下不影响。

媒体知道什么东西大家会看,所以选择性的发,猝死的多,因为自己从事这个工作,所以更容易看到这种信息。

不能拦截,钓鱼邮件也不会让你回复的,都是给你钓鱼链接,这里是实例,实际上应该替换为网址或者二维码,诱导用户提供隐私信息。

看看是哪个主体,境内的还是境外的,涉及到开票问题。

评论帖子温州有什么好的工作吗?

招新,找新?是否错了?标题是找工作的意思,看正文我以为是招人。

没什么可以说的,每个行业都有,只是程序员这个行业听起来更高大上,加上公众印象和历史新闻,经常会将程序员和熬夜放到一起,形成猝死的固有印象,同时程序员这个群体与网络联系更密切,消息更容易传播。

我只是根据他人的分析进行复现,没有什么技术含量,相当于了解下漏洞成因和利用原理。

因为是互联网套餐和渠道套餐,还有主要原因是拉新,国内互联网服务的优惠向来是老用户与狗不得享受,也不是一个两个了。

日积月累,慢慢积累起来的,信安东西很多,我对二进制不是很了解,主要是做 WEB 方向,WEB 的资料网上有很多。

DNS 发展从最开始大家都用运营商下发的 DNS 镜像节点到换成 114,再换成谷歌、阿里,再到 DOH,都说明网民的整体安全意识和隐私保护的提高。

阿里开始限速了,个人设备少可能够用,放到企业环境被限速就会很影响,还是要多填几个不同厂商的 DNS

我不是专业人士,只是了解相关内容,正好遇到了,就作为案例发出来。

是的,最开始是 114 后来大家怀疑(我没有证据)它会劫持用户网页投放广告,所以后来阿里 DNS 出来后很多都换了,现在阿里、腾讯开始限速,也有用户开始用 CNNIC DNS。

阿里、腾讯都已经开始限速了,阿里是动态限速,腾讯限制单域名 20QPS

@Dusk 这是信息安全的东西,我说网管是因为这位朋友在另一个帖子说搞安全就是高级网管,我给搬过来了。doge
这种知识很零散,属于通信协议,安全分为好几种,最常见的入侵网站就是 WEB 安全,入侵电脑是终端安全,看你对什么有兴趣,协议的话可以了解 DDoS 的原理,NTP 反射放大流量,DNS 重绑定,HTTP 的走私漏洞。

@uuu 邮件托管服务有自动配置、手动配置,本站的邮件是第三方的推送服务,一般都是提示后手动配置。对于电子邮局的检测还有可信度的。 https://www.mail-tester.com/?lang=zh

企微会提示风险,QQ 邮箱不会。可能一个是 2B 一个是 2C 的原因。

你说的模板应该就是指激活邮件那个样式,那个是 html,邮件支持渲染 html 的,都可以实现。

有遗忘也正常,这种风险还是可以接受的,因为只是钓鱼。

闭合字符都被转义了,本站渲染内容的时候先放到页面中再读取加载,可以查看当前页面源代码

svg 的测试见我发的猜设备的帖子。本站加载图片会先尝试读取和检测,非图片不会被加载,svg 以 img 方式插入的时候不会运行嵌入的 xml 或者 js

我也是以前用免费企业邮箱的时候了解的 spf,然后才知道邮件头伪造。

@353804 这是 xss,有的 md 渲染器会有 xss 问题,这里还没发现,这里除了预设的标签,其他的都不会渲染。

CSRF 的问题已经修复了,下面楼层有帖子地址。

评论帖子有没有开源的WEBVPN产品?

@353804 不是很了解 wireguard,但是编译成 wasm 那不是很大,太不友好了。

之前在其他渠道反馈过,这种可以公开的就当成案例发出来了,上次还有一个帖子,也是本站的。
可以将任意用户的头像重置
CSRF 原理与相关利用(本站用户头像重置漏洞,已修复)

一般用第三方的邮件服务应该都会提示建议配置 SPF,之前很多免费的还没有 DKIM,现在基本都有 SPF 和 DKIM。

这里是演示非系统邮件,一般系统邮件都是 noreply,演示钓鱼,不会用系统的 admin 前缀。你想改成 admin 也可以,什么都行。

高级网管可以发现 🤔,现在知道网管和信息安全的区别了吧。

图床域名可以在我的图片里面找到,统一登录的账号是另一个站点的,这里的用户大概都没有那个网站的账号。

评论帖子有没有开源的WEBVPN产品?

确实想简单了,看看 SSLVPN、WEBVPN 就明白我的意思了。

评论帖子有没有开源的WEBVPN产品?

只是想试一下。

买个暖风机,小太阳用起来,老板省这点钱,一个小太阳就一两千瓦。

之前回复过一个类似的帖子,网络安全几年前就很火,一直缺人,不过只是缺高级别人才,或者中级的,低级的太多了,很多干安服、搞合规、写报告,安全研究的不多,这个行业要学的多,要一直跟着新技术,内卷严重,就业的话小公司没有这种职位,有的顶多是运维兼职一点安全工作,大公司低级进不去,中型公司要么不要,要么要的少。

因为这是非公开的,在境内,我不能保证别人不传违规内容,所以只能控制范围。

没看清标题,10 年经验,这东西太基础了,应该都知道,不说很清楚,最基本的还是知道的吧,都不用下心思背。

满减、免税、地方优惠。

这东西日常不会让你写,但是你得了解,有些时候用的到相关的知识(并不是实现协议,比如出现请求报错,起码知道哪里出问题)

@2Libre 多买几台,放不一样的东西。