我也要用- 博客(53)
- 收藏
- 关注
RSS订阅
原创 自我介绍与博客规划-第一篇文章
自我介绍: 我是来自天朝下重庆大学的一名程序猿,或者叫我程序羊(因为我的名字叫东阳),哈哈,其实我自己也有博客,同时也运维着几个网站,但为啥还要来CSDN呐?写下着第一篇文章的时候,正是我大二开学的时间,在老师讲课期间说起我们在学习的时候应当写写博客,记录一下自己开发或学习中遇到的问题,也是方便我们深入的理解,在未来的日子,坚持写下去,一定会有更多的收获!为此,今天开通了CSDN...
2017-09-05 17:08:37
2171
1
原创 Emlog修复后台编辑器存储型XSS漏洞的方法
以前DYBOY就发布过关于Emlog6.0的代码审计文章,其中就有分析道emlog文章编辑器的XSS漏洞,如果有些含有会员系统的EMLOG网站,就可能会遭到此漏洞攻击,严重可导致盗取管理员cookie,最后网站被黑客入侵拿下webshell。当然,我这里不会教大家如何去入侵,而是讲一讲如何防御EMLOG的编辑器XSS攻击。关于XSS漏洞的原理,暂时也不讲了,感兴趣的可以去我的博客:DYBO...
2020-03-03 18:00:53
522
原创 [Emlog优化]如何取消Emlog文章编辑的自动保存功能,只需简单一行代码
相信很多Emlog的站长特别不喜欢Emlog系统自带的文章自动保存功能,那么如何取消呐?Emlog自带的保存功能,不仅消耗服务器性能,还有可能当你在发布文章的时候,和自动保存冲突了,然后你就会发现你发布的文章到草稿箱去了,很是烦人!优选资源网站长为了解决这个问题,研究了Emlog后台视图模板中的代码,发现只需要简单注释一行代码就搞定了,再也不会因自动保存带来烦恼在“admin\view...
2020-02-25 21:28:20
440
原创 [网站优化]Emlog如何给标题增加第X页序号?优选资源网来教你优化emlog分页
今天,优选资源网小编在检查Emlog相关用户体验度是否有提高的地方,发现一点,首页的翻页后,第二页的标题还是和首页一模一样,其实这样的体验是不符合百度等搜索引擎的收录要求(每个页面的标题应该是不一样的),为此如何给分页页面标题加上“第X页”是我们Emlog博客站长需要考虑的,接下来,优选资源网站长就来给大家讲解如何解决这个问题!1.第一步:找到对应文件首先来到 “/include/co...
2020-02-25 21:24:24
264
原创 [Emlog优化]缓存文件优化 加快文章发布速度 加快缓存速度
今天优选资源网站长继续分享Emlog网站优化,如何加快网站的缓存速度,加快文章发布速度,前一篇文章讲了很粗暴的方法,简单有效,但是这样是不符合业务逻辑的,有的数据是需要缓存数据,若缓存数据更新不及时,那么就会出现一些数据延迟的情况正在上传…重新上传取消Emlog缓存优化教程因此,应该针对性的更新缓存!1.加快缓存速度:Emlog是基于PHP+MYSQL的运行环境,那么缓...
2020-02-22 12:28:48
756
原创 [EMLOG优化]评论失败的原因和解决办法,解除Emlog评论限制导致失败的问题
【摘要】今天又有朋友反Emlog馈评论失败的问题,其实小东也遇到这个问题好多次了,那么如何彻底解决评论失败的问题呐?从朋友反馈的问题来看,登录用户会出现评论...今天又有朋友反Emlog馈评论失败的问题,其实小东也遇到这个问题好多次了,那么如何彻底解决评论失败的问题呐?从朋友反馈的问题来看,登录用户会出现评论失败问题,那么在EMLOG最新版6.0CMS中,针对用户的评论是有限...
2020-02-20 20:32:39
533
原创 [Emlog优化]Emlog6.0标签不存在提示SQL执行错误的解决办法
【摘要】近日,优选资源网站长使用的Emlog最新版6.0,在发现访问不存在的TAG(标签)时候,出现了如下图的SQL报错页面,如何优化这个BUG,或者是修复这个错误呐?今天优选资源站长研...近日,优选资源网站长使用的Emlog最新版6.0,在发现访问不存在的TAG(标签)时候,出现了如下图的SQL报错页面,如何优化这个BUG,或者是修复这个错误呐?今天优选资源站长研究了下!...
2020-02-20 18:21:50
626
2
原创 ThreatScan-端口并发扫描的实现
在不断完善ThreatScan这个项目时,遇到了不少的坑,当然也学习到不少,为此根据ThreatScan的实现,做一些关键功能实现的分享[外链图片转存失败(img-mAdVzIov-1566712902419)(https://image.3001.net/images/20190409/15547995385184.png “图源freebuf”)]ThreatScan是一款扫描器,主要...
2019-08-25 14:03:23
383
3
原创 ThreatScan-免费的网站在线安全检测平台_TScan
ThreatScan,免费的网站在线安全检测平台0x00 TScan在线地址https://scan.top15.cn0x01 使用帮助请合法使用工具!!!0x02 意见反馈评论留言即可
2019-07-28 23:35:37
947
原创 新浪微博图床失效403的解决办法总结
近日,新浪图床开启了防盗链,不少依托于新浪图床的网站图片都无法访问了,看到了网上很多的方法,结合小东自身经验,总结一下新浪图床 403(失效)的解决办法。新浪图床是一个非常好的图床,虽然新浪到处被喷,但是在图片外链上一直没采取防盗链措施,近日才开启了防盗链措施。众所周知,图片的加载是需要流量的,但如果服务器的带宽不够大,那么网站的加载速度明显降低,用户的体验就不好,所以不少的小网站站长,会将...
2019-05-05 19:44:48
680
原创 通过TleChat站长聊天插件一键Getshell
TleChat网站插件是一个发布到wordpress,typecho和emlog社区上的站长聊天插件,站长聊天室插件为站长和用户提供聊天室功能,让站长与用户之间的联系更加友爱,支持文本、长文本、语音聊天、图片传输及站长之间的QQ、微信、支付宝打赏,共同建立一个友爱的联盟。看了看 emlog 论坛上的状况,发现一名作者开发了一款站长聊天的插件,小东之前写过一款简单的聊天应用“Anychat”...
2019-04-23 09:47:17
394
原创 不得不学的PHP7
PHP基础笔记整理,学习巩固PHP7,以前的应用主要是基于PHP5版本,以后的市场也偏向于逐渐成熟的PHP7,所以学习应用PHP7非常有必要,Hello PHP7!0x01 PHP简介PHP(Hypertext Preprocessor),超文本预处理语言,与 Python 类似,都是弱类型脚本语言,解释性语言,PHP 可以与 HTML 文档混写。变量的四种作用域:local:...
2019-04-16 22:15:16
245
原创 微信小程序踩坑+客服功能实现
最近在开发一款微信小程序,其中也是踩了不少坑,部分的坑小东还是发出来瞅瞅吧,还有更多的坑还没来得及记录,都在脑子里,欢迎付费咨询,啊哈哈哈哈…0x01 tabBar排序tabBar 排序根据 app.json中的 pages 顺序0x02 引号 & 花括号花括号和引号之间如果有空格,将最终被解析成为字符串0x03 wx:for循环key绑定对象中,可以绑定u...
2019-04-16 10:40:07
439
1
原创 椭圆曲线加密解密算法python3实现
信息安全课程的实验,根据课件及网上资料,参考实现代码中注释比较完善,算法的实现整体流程如下:- 实现基本流程:考虑K=kG ,其中K、G为椭圆曲线Ep(a,b)上的点,n为G的阶(nG=O∞ ),k为小于n的整数。则给定k和G,根据加法法则,计算K很容易但反过来,给定K和G,求k就非常困难。因为实际使用中的ECC原则上把p取得相当大,n也相当大,要把n个解点逐一算出来列成上表是不...
2019-03-22 18:23:52
1980
原创 HTML前端实现瀑布流无限加载
瀑布流加载是一种不错的前端加载方式,用户的体验也还不错。本次尝试中涉及到布局、图片追加、滚动条监控的内容主要实现步骤:计算获取高度最低列,添加图片到其下,定时器每次添加图片,下拉加载问题0x01 布局前端的布局使用到了flex弹性布局前端显示图片部分的HTML代码:<div class="gallary"> <!-- 第一列 --> <div cl...
2019-02-28 13:48:52
480
原创 HTML多图上传中的问题探索
在编写实现“天云图床”这个程序的时候,想要实现批量上传图片的操作,便于自己和广大站长的使用,其中遇到了一些简单但又不常见的问题,网上资料良莠不齐,遂总结一遍一开始,天云图床只有单图上传的功能,开源到技术QQ群中,大家都建议小东写一个多图上传的功能,于是趁着周六有时间,开始编写代码。本以为是一个非常简单的工作,哪知道弄了一整天的时间。0x01一开始的思路一开始,后台API服务仅支持单图上...
2019-02-25 15:35:11
390
原创 记录一次基于ThinkPHP网站被入侵到溯源的过程
昨天晚上,正准备入睡,朋友突然发消息说他的网站被黑客攻击了,首页内容被篡改,于是我开始了紧急的修复工作知道这个情况后,立即翻身起来,让朋友发给我必要的信息,把网站的日志下载到本地,因为网站本身的访问量不是很大,所以直接使用 notepad++ 来手动分析。0x01 下载必要文件首先将日志文件、现在网站空间的源码以及之前的网站备份下载到本地,这一步是为了比较分析。0x02 日志分析从网...
2019-02-18 10:16:10
1399
原创 一次基于Tensorflow+CNN的验证码识别之旅
对于本次基于卷积神经网络识别验证码有着非常大的兴趣,所以尝试性地去做了测试,过程当中踩了不少坑,也参考了许多前辈的博客和教程,最终识别率可达到98.25%一、下图是训练的过程:二、实验的情况简介:实验环境:Python3.6、Centos 7.3、Tensorflow 1.9训练的过程是放到远程服务器上跑的,1H1G的配置,没有GPU,所以训练总耗时5小时在本地机器Win10+M...
2018-11-26 20:11:55
647
2
原创 [代码审计]Emlog 6.0 Beta-史上最详细代码审计分析
Emlog 6.0 beta版本,这可能是最后一篇关于PHP语言CMS的代码审计文章,此次将详细记录完整的审计过程。*2018-11-02 之前这篇文章发到 Freebuf 上面的由于某些原因删除了,却被某些爬虫网站给抓取了,现在公开,希望大家做一个合理的学习,切勿用于非法用途!官网也更新了6.0正式版,现在作为最后公布也不存在不妥之处,再次声明:仅供学习参考,任何由个人行为产生的违法犯罪结...
2018-11-18 01:06:42
569
原创 一张验证码引发对DOS的思考
DDOS攻击在互联网上是比较常见的一种攻击方式。他的目的就是为了让攻击目标网站或者在线服务失去相应,或者因为大量流量和IP一时间如洪水般涌入服务器,导致服务器拒绝服务,甚至宕机。在《白帽子讲WEB安全》笔记一文中,我有写到各类常见 DDOS 攻击,以及简单的防御方式。本次实验主要是在某次挖洞的过程,以及正好看到黑家小无常刚发布的文章给我的启示,然后顺便做了一下验证。0x...
2018-08-15 23:04:41
972
2
原创 XML External Entity attack
XXE漏洞XML 被设计用来传输和存储数据。语法规则<?xml version="1.0" encoding="UTF-8"?> <!--XML 声明--><girl age="18"> <!--自定的根元素girl;age属性需要加引导--><hair>长头发<
2018-07-31 22:48:53
343
原创 [代码审计]Mini CMS V1.1-最新版
为什么最近老是在做代码审计呐?一是想要学习其他优秀开发者的架构和设计模式,二是挖掘一下开发者在开发过程中不严谨之处,作为前车之鉴。有朋友就在问小东,哪儿找到这么多的CMS审计?这里说明一下,因为在代码审计方面还比较菜,只得大面积撒网,找小众的CMS来审计学习,所以就写了一个小爬虫,把CNVD上的CMS列表厂商都给抓下来了。爬虫源码如下:# title: 抓取CNVD漏洞CM...
2018-07-31 22:47:36
548
原创 [读书笔记]《白帽子讲WEB安全》
这本书一直没时间去看,虽然有电子书但是还是喜欢纸质书本的气息,道哥作品,这本书真的是一本非常经典且非常有深度的一本安全类书籍,给予了我很大的帮助,本篇文章记录一下书中所讲不熟悉之处。安全工程师的核心竞争力不在于他能拥有多少个0day,掌握多少种安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。0x01 世界观安全安全三要素机密性、完整...
2018-07-27 17:23:21
510
原创 [局域网渗透]如何搞懵蹭网的同学-详细过程
在学校内,小东的WIFI是没有设密码的,所有有很多同学偷偷蹭网,本次实验是想说公共WIFI不要随便去连接啊。0x00 起因最近网络老卡了,打开路由器管理界面,发现连着20多个终端呐,由于新开了博客地址:https://blog.dyboy.cn ,又没啥人访问,在整理之前的文章时,看到了这篇[笔记]Metasploit内网/局域网劫持,所以顺便实操并记录之。0x01 实...
2018-06-26 22:30:24
3290
原创 小白入门SQL注入基础-基于Sqli-lab平台实战
简介:SQL注入是一个常见的漏洞,在所有的安全防护统计数据儿结果中显示,SQL注入几乎占据网络攻击问题的60%左右,由此可见SQL注入漏洞是一种常见的WEB漏洞,了解SQL注入对于网络安全工作者或安全爱好者来说,是非常有必要,本文章主要通过sqli平台来具体阐述SQL注入漏洞产生的原因和利用方法。0x00 SQL注入漏洞简介有关SQL注入的各种定义阐述已经很多,大家可自行使用搜索引...
2018-06-08 22:11:43
3302
原创 EMLOG漏洞 | 针对emlog友情链接插件审计出的SQL注入漏洞
这其实不能算是emlog 系统的漏洞,这问题主要是出现在开发者身上。由于作者在写代码的时候没有注意到过滤参数,因此而引发了SQL注入漏洞,望大家有安装过或类似的插件,请及时更新,本文章最后会提供修复版的插件!0x01 Emlog友情链接自助插件这款插件主要是为了减轻站长审核友情链接的压力,通过申请者自己填写表单的方式提交申请,后端检查对方网站是否添加本站的链接从,如果存在,则向数...
2018-06-02 22:10:14
1149
原创 file_get_contents无法读取文件的解决办法
昨天晚上弄了很久,之前网站读取远程文件一直错误,下面提供解决方法以供大家参考。1. php.ini 设置其实熟悉PHP的朋友都知道在php的配置文件php.ini中 allow_url_fopen=On;在php版本5.3后是默认开启的,一般情况下是没必要手动修改的。就算是吗服务商提供的虚拟主机,这个php属性值都会默认开启。 当我们遇到如题所述的问题时,第一个需要检查的就是这个属...
2018-06-02 13:02:34
7939
原创 记录微信小程序开发过程中遇到的坑
为了参加微信小程序开发大赛,了解了微信小程序的开发,在实际的开发过程中遇到了一些问题,以此记录,避免再犯!简述小程序的开发官方文档链接:小程序开发API我的代码仓库:Github刚接触小程序的开发,个人觉得要写好小程序,得熟悉前端开发,因为小程序的编码基于HTML、CSS和JS。只不过在微信中,为了打造微信的生态圈,重新定义了小程序编码。其实质还是和前端开发类似,如果你有...
2018-05-20 11:13:40
1389
1
原创 记录朋友博客被入侵的日志分析溯源过程
一朋友妖少,联系我说他的博客被黑了,让我帮忙看看问题在哪儿,对此,也分享一下日志分析中的一些经验。当然其中也有一些曲折经历,暂且就不说了。 从收到他的消息,具体了解到,他发现这个情况是在13号晚上10点左右,然而他14号下午才发我... 然后让他把网站日志发我,然而等到了17号才发我... emmm~然后,我现在才来分析 由于我拿到的日志是.log文件,只是简单记录了IP 时间...
2018-04-23 21:52:45
2275
原创 用Python爬取陈奕迅新歌《我们》10万条评论的新发现
最近就有一部“怀旧”题材的电影,未播先火,那就是刘若英的处女作——《后来的我们》。青春,爱情,梦想,一直是“怀旧”题材的核心要素,虽然电影现在还未上映,但先行发布的主题曲《我们》,已经虐哭了不少人。在MV里,歌声清清浅浅,诉说着那些年关于爱情里的遗憾。“我最大的遗憾,就是你的遗憾,与我有关”,下面就一起来感受一下吧。这首歌是《后来的我们》中的主题曲,网易云音乐上线当天便席卷千万+播
2018-04-22 15:18:01
454
原创 【网络安全】隐藏网站后台的另一种思路
如今网络安全问题已不可忽视,保护好自己的网站就显得非常有必要!此处以emlog博客为例子!!!之前有通过修改admin文件夹名字的方式修改后台路径,但是会涉及到修改很多代码,并且还有可能的导致一些主题模版的功能不能正常使用!为此,今天简单说一个隐藏后台两全其美的思路,EMLOG的用户可以参考,欢迎大家一起交流学习!众所周知emlog的后台路径是admin,如果不隐藏后台,就会受到黑客的大量暴力破解...
2018-03-01 19:16:04
2489
原创 【渗透实战】拿下一个智能交易网站经验分享
以后这类文章都会打码,只是单纯做技术分享!在群里,有人在直播R站,有站那就一起搞嘛~存在注入存在过滤发现可以大小写绕过然后,顺手就是启动sqlmap --tamper space2comment.py很多朋友可能遇到这样的情况就没办法了然后就是重点了!!!我们自己写一个py脚本,原理就是手工注入去猜解OK,成功得到账号密码提示一下,这个网站旁站还挺多的,有的是类似的方式可以拿到登陆后台,发现编辑器...
2018-02-23 12:51:49
2575
2
转载 SQL注入中用到的Concat函数详解-菜鸟白帽扫盲
在我们WEB安全测试的时候,会经常使用到这一语法,因此应该透彻理解这一函数,今天好好实践了一下,整理如下。1.Concat函数:concat()是一个函数,用于用于将两个字符串连接起来,形成一个单一的字符串,类似于字符串拼接;语法:SELECT CONCAT(str1,str2,...)执行结果:2.实战演示:查看users表下的数据
2018-01-29 21:43:20
1972
原创 《跳一跳微信小游戏》辅助python版Coding
最近比较忙,就直接上代码,其中有注释,希望对大家程序开发有所启迪!实现原理,计算两点距离,反算出需要按压时间,使用adb模拟手机的按压,即可实现微信跳一跳的辅助!# name: have a jump# author: DYBOY# time: 2017-01-06# charset: utf-8import osimport PILimport numpyimport
2018-01-07 21:30:25
847
原创 第九课 Python模拟登陆与保持会话
一、了解与尝试对于刚入门的同学来说,可能还不清楚,怎么弄,不过相信在前8节课的描述中,大家还是掌握一二,并有所创造了好了废话不多说,下面看教程: 1.我们首先找到一个有会员登陆的网站,比如一个小网站,还有验证码“第一资源网” 可能有的同学就慌了,这是一个js加载的登录框,爬虫怎么抓取呐??? 不要急~2.打开F12,开发者工具抓包看看登陆的请求链接是什么 抓取的请求链接如下: 登陆请
2018-01-04 18:41:23
2830
2
原创 Python爬虫实战四 | 盘搜搜1.2-网盘搜索神器开源
应用说明: 之前《小项目实战|盘搜搜》一文中说好的要开源,就直接免费开源给大家使用了,只需要直接下载,然后上传FTP空间(网站)就可以直接使用了,这次做了界面的升级,算是好看了一丢丢吧~ 这东西可以搜到很多有趣的东西哦 1.使用Bootstrap框架自适应界面; 2.包含了蓝奏网盘的36w+的网盘资源开放API,日后会更多使用注意:
2018-01-04 17:38:30
2257
原创 网络安全 | BurpSuite安装SSL证书抓取HTTPS的办法
1.打开Burpsuite2.在浏览器输入127.0.0.1:8080 (BurpSuite默认占用8080端口) 3.点击右上角的CA Certificate,,下载证书 4.导入刚才下载的证书(默认导入操作) 5.OK,就是这么简单6.就可以完美的抓取HTTPS的站点了(推荐大家使用360极速浏览器,或者FireFox)本教程使用的是360极速浏览器,
2017-12-29 20:20:22
13114
原创 2018最新代码审计教程笔记-代码审计入门
由于之前的学习不是非常的系统,故此重新整理学习“代码审计”,博客也更新相关内容。 0x01:调试函数echo (print): 这是最简单的输出数据调试方法,一般用来输出变量值,或者你不确定程序执行 到了哪个分支的情况下是用。print_r、var_dump(var_export)、debug_zval_dump这个主要是用来输出变量数据值,特别是数组和对象数据,一般我们在查看
2017-12-29 19:21:06
6160
原创 EMLOG漏洞 | 敏感信息泄漏phpinfo-代码审计
Emlog是一款个人博客系统,使用的人还是非常多的,小巧方便,对于个人站长来说是一个建站的不错选择。今天要公布一个危害轻微的漏洞:phpinfo暴露敏感信息 其实这个漏洞也不算什么吧,以后视情况(得到官方授权后)公布一些高危的漏洞,也欢迎大家持续关注DYBOY的博客。 闲话不多说,首先看看漏洞出现的位置:phpinfo暴露敏感信息如上图,我们只要构造
2017-12-24 22:03:51
4193
原创 Emlog漏洞 | EMLOG博客系统存在暴力破解漏洞
漏洞简介:Emlog博客系统默认后台登陆地址为http://域名/admin/login.php而后台登陆时,错误情况下,验证码未刷新,导致可暴力破解登陆管理员账号低危漏洞,但是在emlog5.3.1和6.0测试版本均存在 漏洞成因: 同时,其6.0测试版本也未修复。 漏洞验证/演示:下载官方的emlog5.3.1版本http://www.emlog.n
2017-11-03 11:25:46
5803
空空如也
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人 TA的粉丝