DYBOY-小东-安全菜鸟-WEB狗-狗年不苟

周末学习设计模式有点上头，遂打开“脉脉”APP放松一下，看到一些老哥吐槽“互联网黑话”的帖子，顺便就写了个“互联网黑话生成器”分享给大家，全篇请带着娱乐精神阅读，请勿对号入座！！！一、 起因其中有位老哥反思自己不会互联网黑话，面试惨被拒：为了帮助大家，找到抓手，加强感知，构建阵地，拉通对齐，形成闭环，给简历赋能，所以搞了个在线互联网黑话生成器。首先????????效果：乍一看，还是有那么点道理…二、实现黑话生成器还是非常简单，就是把常见的互联网黑话拿出来“随机排列组合”，也是掌握说互联网

以前DYBOY就发布过关于Emlog6.0的代码审计文章，其中就有分析道emlog文章编辑器的XSS漏洞，如果有些含有会员系统的EMLOG网站，就可能会遭到此漏洞攻击，严重可导致盗取管理员cookie，最后网站被黑客入侵拿下webshell。当然，我这里不会教大家如何去入侵，而是讲一讲如何防御EMLOG的编辑器XSS攻击。关于XSS漏洞的原理，暂时也不讲了，感兴趣的可以去我的博客：DYBO...

相信很多Emlog的站长特别不喜欢Emlog系统自带的文章自动保存功能，那么如何取消呐？Emlog自带的保存功能，不仅消耗服务器性能，还有可能当你在发布文章的时候，和自动保存冲突了，然后你就会发现你发布的文章到草稿箱去了，很是烦人！优选资源网站长为了解决这个问题，研究了Emlog后台视图模板中的代码，发现只需要简单注释一行代码就搞定了，再也不会因自动保存带来烦恼在“admin\view...

今天，优选资源网小编在检查Emlog相关用户体验度是否有提高的地方，发现一点，首页的翻页后，第二页的标题还是和首页一模一样，其实这样的体验是不符合百度等搜索引擎的收录要求（每个页面的标题应该是不一样的），为此如何给分页页面标题加上“第X页”是我们Emlog博客站长需要考虑的，接下来，优选资源网站长就来给大家讲解如何解决这个问题！1.第一步：找到对应文件首先来到 “/include/co...

今天优选资源网站长继续分享Emlog网站优化，如何加快网站的缓存速度，加快文章发布速度，前一篇文章讲了很粗暴的方法，简单有效，但是这样是不符合业务逻辑的，有的数据是需要缓存数据，若缓存数据更新不及时，那么就会出现一些数据延迟的情况正在上传…重新上传取消Emlog缓存优化教程因此，应该针对性的更新缓存！1.加快缓存速度：Emlog是基于PHP+MYSQL的运行环境，那么缓...

【摘要】今天又有朋友反Emlog馈评论失败的问题，其实小东也遇到这个问题好多次了，那么如何彻底解决评论失败的问题呐？从朋友反馈的问题来看，登录用户会出现评论...今天又有朋友反Emlog馈评论失败的问题，其实小东也遇到这个问题好多次了，那么如何彻底解决评论失败的问题呐？从朋友反馈的问题来看，登录用户会出现评论失败问题，那么在EMLOG最新版6.0CMS中，针对用户的评论是有限...

【摘要】近日，优选资源网站长使用的Emlog最新版6.0，在发现访问不存在的TAG（标签）时候，出现了如下图的SQL报错页面，如何优化这个BUG，或者是修复这个错误呐？今天优选资源站长研...近日，优选资源网站长使用的Emlog最新版6.0，在发现访问不存在的TAG（标签）时候，出现了如下图的SQL报错页面，如何优化这个BUG，或者是修复这个错误呐？今天优选资源站长研究了下！...

在不断完善ThreatScan这个项目时，遇到了不少的坑，当然也学习到不少，为此根据ThreatScan的实现，做一些关键功能实现的分享[外链图片转存失败(img-mAdVzIov-1566712902419)(https://image.3001.net/images/20190409/15547995385184.png “图源freebuf”)]ThreatScan是一款扫描器，主要...

ThreatScan，免费的网站在线安全检测平台0x00 TScan在线地址https://scan.top15.cn0x01 使用帮助请合法使用工具！！！0x02 意见反馈评论留言即可

近日，新浪图床开启了防盗链，不少依托于新浪图床的网站图片都无法访问了，看到了网上很多的方法，结合小东自身经验，总结一下新浪图床 403(失效)的解决办法。新浪图床是一个非常好的图床，虽然新浪到处被喷，但是在图片外链上一直没采取防盗链措施，近日才开启了防盗链措施。众所周知，图片的加载是需要流量的，但如果服务器的带宽不够大，那么网站的加载速度明显降低，用户的体验就不好，所以不少的小网站站长，会将...

TleChat网站插件是一个发布到wordpress，typecho和emlog社区上的站长聊天插件，站长聊天室插件为站长和用户提供聊天室功能，让站长与用户之间的联系更加友爱，支持文本、长文本、语音聊天、图片传输及站长之间的QQ、微信、支付宝打赏，共同建立一个友爱的联盟。看了看 emlog 论坛上的状况，发现一名作者开发了一款站长聊天的插件，小东之前写过一款简单的聊天应用“Anychat”...

PHP基础笔记整理，学习巩固PHP7，以前的应用主要是基于PHP5版本，以后的市场也偏向于逐渐成熟的PHP7，所以学习应用PHP7非常有必要，Hello PHP7！0x01 PHP简介PHP（Hypertext Preprocessor），超文本预处理语言，与 Python 类似，都是弱类型脚本语言，解释性语言，PHP 可以与 HTML 文档混写。变量的四种作用域：local：...

最近在开发一款微信小程序，其中也是踩了不少坑，部分的坑小东还是发出来瞅瞅吧，还有更多的坑还没来得及记录，都在脑子里，欢迎付费咨询，啊哈哈哈哈…0x01 tabBar排序tabBar 排序根据 app.json中的 pages 顺序0x02 引号 & 花括号花括号和引号之间如果有空格，将最终被解析成为字符串0x03 wx:for循环key绑定对象中，可以绑定u...

信息安全课程的实验，根据课件及网上资料，参考实现代码中注释比较完善，算法的实现整体流程如下：- 实现基本流程：考虑K=kG ，其中K、G为椭圆曲线Ep(a,b)上的点，n为G的阶（nG=O∞ ），k为小于n的整数。则给定k和G，根据加法法则，计算K很容易但反过来，给定K和G，求k就非常困难。因为实际使用中的ECC原则上把p取得相当大，n也相当大，要把n个解点逐一算出来列成上表是不...

瀑布流加载是一种不错的前端加载方式，用户的体验也还不错。本次尝试中涉及到布局、图片追加、滚动条监控的内容主要实现步骤：计算获取高度最低列，添加图片到其下，定时器每次添加图片，下拉加载问题0x01 布局前端的布局使用到了flex弹性布局前端显示图片部分的HTML代码：<div class="gallary"> <!-- 第一列 --> <div cl...

在编写实现“天云图床”这个程序的时候，想要实现批量上传图片的操作，便于自己和广大站长的使用，其中遇到了一些简单但又不常见的问题，网上资料良莠不齐，遂总结一遍一开始，天云图床只有单图上传的功能，开源到技术QQ群中，大家都建议小东写一个多图上传的功能，于是趁着周六有时间，开始编写代码。本以为是一个非常简单的工作，哪知道弄了一整天的时间。0x01一开始的思路一开始，后台API服务仅支持单图上...

昨天晚上，正准备入睡，朋友突然发消息说他的网站被黑客攻击了，首页内容被篡改，于是我开始了紧急的修复工作知道这个情况后，立即翻身起来，让朋友发给我必要的信息，把网站的日志下载到本地，因为网站本身的访问量不是很大，所以直接使用 notepad++ 来手动分析。0x01 下载必要文件首先将日志文件、现在网站空间的源码以及之前的网站备份下载到本地，这一步是为了比较分析。0x02 日志分析从网...

对于本次基于卷积神经网络识别验证码有着非常大的兴趣，所以尝试性地去做了测试，过程当中踩了不少坑，也参考了许多前辈的博客和教程，最终识别率可达到98.25%一、下图是训练的过程：二、实验的情况简介：实验环境：Python3.6、Centos 7.3、Tensorflow 1.9训练的过程是放到远程服务器上跑的，1H1G的配置，没有GPU，所以训练总耗时5小时在本地机器Win10+M...

Emlog 6.0 beta版本，这可能是最后一篇关于PHP语言CMS的代码审计文章，此次将详细记录完整的审计过程。*2018-11-02 之前这篇文章发到 Freebuf 上面的由于某些原因删除了，却被某些爬虫网站给抓取了，现在公开，希望大家做一个合理的学习，切勿用于非法用途！官网也更新了6.0正式版，现在作为最后公布也不存在不妥之处，再次声明：仅供学习参考，任何由个人行为产生的违法犯罪结...

DDOS攻击在互联网上是比较常见的一种攻击方式。他的目的就是为了让攻击目标网站或者在线服务失去相应，或者因为大量流量和IP一时间如洪水般涌入服务器，导致服务器拒绝服务，甚至宕机。在《白帽子讲WEB安全》笔记一文中，我有写到各类常见 DDOS 攻击,以及简单的防御方式。本次实验主要是在某次挖洞的过程，以及正好看到黑家小无常刚发布的文章给我的启示，然后顺便做了一下验证。0x...

XXE漏洞XML 被设计用来传输和存储数据。语法规则<?xml version="1.0" encoding="UTF-8"?> <!--XML 声明--><girl age="18">　　<!--自定的根元素girl;age属性需要加引导--><hair>长头发<

为什么最近老是在做代码审计呐？一是想要学习其他优秀开发者的架构和设计模式，二是挖掘一下开发者在开发过程中不严谨之处，作为前车之鉴。有朋友就在问小东，哪儿找到这么多的CMS审计？这里说明一下，因为在代码审计方面还比较菜，只得大面积撒网，找小众的CMS来审计学习，所以就写了一个小爬虫，把CNVD上的CMS列表厂商都给抓下来了。爬虫源码如下：# title: 抓取CNVD漏洞CM...

这本书一直没时间去看，虽然有电子书但是还是喜欢纸质书本的气息，道哥作品，这本书真的是一本非常经典且非常有深度的一本安全类书籍，给予了我很大的帮助，本篇文章记录一下书中所讲不熟悉之处。安全工程师的核心竞争力不在于他能拥有多少个0day，掌握多少种安全技术，而是在于他对安全理解的深度，以及由此引申的看待安全问题的角度和高度。0x01 世界观安全安全三要素机密性、完整...

在学校内，小东的WIFI是没有设密码的，所有有很多同学偷偷蹭网，本次实验是想说公共WIFI不要随便去连接啊。0x00 起因最近网络老卡了，打开路由器管理界面，发现连着20多个终端呐，由于新开了博客地址：https://blog.dyboy.cn ，又没啥人访问，在整理之前的文章时，看到了这篇[笔记]Metasploit内网/局域网劫持，所以顺便实操并记录之。0x01 实...

简介：SQL注入是一个常见的漏洞，在所有的安全防护统计数据儿结果中显示，SQL注入几乎占据网络攻击问题的60%左右，由此可见SQL注入漏洞是一种常见的WEB漏洞，了解SQL注入对于网络安全工作者或安全爱好者来说，是非常有必要，本文章主要通过sqli平台来具体阐述SQL注入漏洞产生的原因和利用方法。0x00 SQL注入漏洞简介有关SQL注入的各种定义阐述已经很多，大家可自行使用搜索引...

这其实不能算是emlog 系统的漏洞，这问题主要是出现在开发者身上。由于作者在写代码的时候没有注意到过滤参数，因此而引发了SQL注入漏洞，望大家有安装过或类似的插件，请及时更新，本文章最后会提供修复版的插件！0x01 Emlog友情链接自助插件这款插件主要是为了减轻站长审核友情链接的压力，通过申请者自己填写表单的方式提交申请，后端检查对方网站是否添加本站的链接从，如果存在，则向数...

昨天晚上弄了很久，之前网站读取远程文件一直错误，下面提供解决方法以供大家参考。1. php.ini 设置其实熟悉PHP的朋友都知道在php的配置文件php.ini中 allow_url_fopen=On;在php版本5.3后是默认开启的，一般情况下是没必要手动修改的。就算是吗服务商提供的虚拟主机，这个php属性值都会默认开启。 当我们遇到如题所述的问题时，第一个需要检查的就是这个属...

为了参加微信小程序开发大赛，了解了微信小程序的开发，在实际的开发过程中遇到了一些问题，以此记录，避免再犯！简述小程序的开发官方文档链接：小程序开发API我的代码仓库：Github刚接触小程序的开发，个人觉得要写好小程序，得熟悉前端开发，因为小程序的编码基于HTML、CSS和JS。只不过在微信中，为了打造微信的生态圈，重新定义了小程序编码。其实质还是和前端开发类似，如果你有...

   一朋友妖少，联系我说他的博客被黑了，让我帮忙看看问题在哪儿，对此，也分享一下日志分析中的一些经验。当然其中也有一些曲折经历，暂且就不说了。   从收到他的消息，具体了解到，他发现这个情况是在13号晚上10点左右，然而他14号下午才发我...  然后让他把网站日志发我，然而等到了17号才发我...  emmm~然后，我现在才来分析    由于我拿到的日志是.log文件，只是简单记录了IP 时间...

最近就有一部“怀旧”题材的电影，未播先火，那就是刘若英的处女作——《后来的我们》。青春，爱情，梦想，一直是“怀旧”题材的核心要素，虽然电影现在还未上映，但先行发布的主题曲《我们》，已经虐哭了不少人。在MV里，歌声清清浅浅，诉说着那些年关于爱情里的遗憾。“我最大的遗憾，就是你的遗憾，与我有关”，下面就一起来感受一下吧。这首歌是《后来的我们》中的主题曲，网易云音乐上线当天便席卷千万+播

如今网络安全问题已不可忽视，保护好自己的网站就显得非常有必要！此处以emlog博客为例子！！！之前有通过修改admin文件夹名字的方式修改后台路径，但是会涉及到修改很多代码，并且还有可能的导致一些主题模版的功能不能正常使用！为此，今天简单说一个隐藏后台两全其美的思路，EMLOG的用户可以参考，欢迎大家一起交流学习！众所周知emlog的后台路径是admin，如果不隐藏后台，就会受到黑客的大量暴力破解...

以后这类文章都会打码，只是单纯做技术分享！在群里，有人在直播R站，有站那就一起搞嘛~存在注入存在过滤发现可以大小写绕过然后，顺手就是启动sqlmap --tamper space2comment.py很多朋友可能遇到这样的情况就没办法了然后就是重点了！！！我们自己写一个py脚本，原理就是手工注入去猜解OK，成功得到账号密码提示一下，这个网站旁站还挺多的，有的是类似的方式可以拿到登陆后台，发现编辑器...

在我们WEB安全测试的时候，会经常使用到这一语法，因此应该透彻理解这一函数，今天好好实践了一下，整理如下。1.Concat函数：concat()是一个函数，用于用于将两个字符串连接起来，形成一个单一的字符串，类似于字符串拼接；语法:SELECT CONCAT(str1,str2,...)执行结果：2.实战演示：查看users表下的数据

最近比较忙，就直接上代码，其中有注释，希望对大家程序开发有所启迪！实现原理，计算两点距离，反算出需要按压时间，使用adb模拟手机的按压，即可实现微信跳一跳的辅助！# name: have a jump# author: DYBOY# time: 2017-01-06# charset: utf-8import osimport PILimport numpyimport

一、了解与尝试对于刚入门的同学来说，可能还不清楚，怎么弄，不过相信在前8节课的描述中，大家还是掌握一二，并有所创造了好了废话不多说，下面看教程： 1.我们首先找到一个有会员登陆的网站，比如一个小网站，还有验证码“第一资源网” 可能有的同学就慌了，这是一个js加载的登录框，爬虫怎么抓取呐？？？ 不要急~2.打开F12，开发者工具抓包看看登陆的请求链接是什么 抓取的请求链接如下： 登陆请

应用说明：    之前《小项目实战|盘搜搜》一文中说好的要开源，就直接免费开源给大家使用了，只需要直接下载，然后上传FTP空间（网站）就可以直接使用了，这次做了界面的升级，算是好看了一丢丢吧~    这东西可以搜到很多有趣的东西哦    1.使用Bootstrap框架自适应界面；    2.包含了蓝奏网盘的36w+的网盘资源开放API，日后会更多使用注意：

1.打开Burpsuite2.在浏览器输入127.0.0.1:8080  （BurpSuite默认占用8080端口） 3.点击右上角的CA Certificate，，下载证书 4.导入刚才下载的证书（默认导入操作） 5.OK，就是这么简单6.就可以完美的抓取HTTPS的站点了（推荐大家使用360极速浏览器，或者FireFox）本教程使用的是360极速浏览器，

由于之前的学习不是非常的系统，故此重新整理学习“代码审计”，博客也更新相关内容。 0x01：调试函数echo (print): 这是最简单的输出数据调试方法，一般用来输出变量值，或者你不确定程序执行 到了哪个分支的情况下是用。print_r、var_dump(var_export)、debug_zval_dump这个主要是用来输出变量数据值，特别是数组和对象数据，一般我们在查看

Emlog是一款个人博客系统，使用的人还是非常多的，小巧方便，对于个人站长来说是一个建站的不错选择。今天要公布一个危害轻微的漏洞：phpinfo暴露敏感信息  其实这个漏洞也不算什么吧，以后视情况（得到官方授权后）公布一些高危的漏洞，也欢迎大家持续关注DYBOY的博客。  闲话不多说，首先看看漏洞出现的位置：phpinfo暴露敏感信息如上图，我们只要构造

漏洞简介：Emlog博客系统默认后台登陆地址为http://域名/admin/login.php而后台登陆时，错误情况下，验证码未刷新，导致可暴力破解登陆管理员账号低危漏洞，但是在emlog5.3.1和6.0测试版本均存在 漏洞成因： 同时，其6.0测试版本也未修复。 漏洞验证/演示：下载官方的emlog5.3.1版本http://www.emlog.n

下面是最近的一次简单的渗透攻击具体思路，涉及到2个系统服务攻击，记住一步一步的看，虽然很多人都像我一样对直接入侵电脑感兴趣，但是他的前期是枯燥无味，不过一定要一步一步的看完，因为通往权限的路，很艰难。MS12这个漏洞呢你可以通过msfconsole来进行渗透，我就说折磨多了，你们自己看吧，虽然不是教程不过很详细，很容易懂。QQ:1099718640不懂得来问我此教程仅为菜鸟，小白，入门提供

今天不讲多的，就一张图，能看懂的就看吧，看不懂的再说。。。觉得挺简单的一个功能，会用就行适当的插入多线程，或让我们的程序更加健壮稳定。程序截图如果看不清楚，请访问原图：http://upload-images.jianshu.io/upload_images/6661013-7c09a55977207cc6.png?imageMogr2/auto-orient/

花了大概两天时间，写完了这个简单的WEB应用！如你所见，我们从爬虫的入门到现在一个类似百度网盘搜索的成熟不算大的项目，就这么简单，加上PHP与SQL的知识，简简单单两天就完成了。这就是编程之美哈哈~望多多交流：QQ1099718640

第一步：安装Pymysql因为mysqldb不支持python3.x，所以选择pymysql模块，首先我们来看看如何安装这个模块。1.下载pymysql：http://pan.lanzou.com/16749682.解压到桌面，然后使用CMD打开该文件夹；3.如图：安装pymysql模块4.如此基本就没问题了，注意的是你得

今天在使用蓝奏网盘的时候发现有一个文件夹加密分享，然后我就尝试了加密文件夹，但是文件夹下的文件还是可以直接通过访问该文件链接得到，所以对于文件夹加密是否显得有点鸡肋了呐？如此，我们便简单的使用Python爬虫来实现一下：1.抓取网盘链接+文件名2.作用：存为文本文件，当我们需要什么资料的时候或许就可以通过Ctrl+F快速搜索，从而得到我们想要的资源实现：

大家都知道，在小说网站看小说总是各种广告，想要下载小说然而却要么需要钱，要么需要会员，如此，我们不妨写一个小说爬虫，将网页上的小说内容章节全部抓取下来，整理成为一本完整的txt文件，这样岂不是一件很愉快的事情！第一只爬虫：第一只爬虫效果    第一只爬虫，在urlChange（）函数处理网址变化，然而到了最后，小东发现，原来小说的每一章节不是按照序号顺次

今天晚上顺带就实际的写写工具，我们刚学完Python的基础语法！抓点妹子带回家~  总结一下之前的吧，我写了关于Python爬虫的六节课程，也就是六篇文章，文章有点简洁，但是很细节，如果还有不懂的请加我QQ：1099718640，或者留言，小东看到了一定会及时回复的哦！愿和各位志同道合的程序猴子一起畅谈人生！哈哈~  今天晚上，刚开完班会。。。老实说，小东大一的成绩很不好，全班倒数

代码整理封装如图：6不6？Python简洁又强大！至此，教程圆满结束，还有什么不懂的或有疑问的问题，欢迎大家加我的QQ：1099718640顺便再送上完整代码，凑凑字数，哈哈~（其实推荐大家去下载Github上的内容，顺便给个小心心什么的）#第六课 封装整理#作者：DYBOY#时间：2017-09-06import requestsim

内容页结构：以这篇文章为例子：http://news.sina.com.cn/c/2017-09-05/doc-ifykpzey4568845.shtml因为简短，方便观看演示：GET请求：http://news.sina.com.cn/c/2017-09-05/doc-ifyk

新闻列表页网页结构：输出h2：res = requests.get('http://news.sina.com.cn/china/')res.encoding = 'utf-8'soup = BeautifulSoup(res.text,'html.parser')for news in soup.select('.new

Beautifulsoup作用：将网页（非结构化内容）转化成结构化内容.text取得bs对象的文字内容（去除HTML标签）现在令一个新的字符串：html sample ='Hello World!This is link1This is link2'将字符串转化为bs对象：soup = BeautifulSoup(

1.发起请求：2.解决乱码：3.抓取指定区域内容：Get请求Request相对于urllib2更为简单，可以使用REAT操作（POST/GET/PU

Python爬虫学习第一课记录1.非结构化数据：如图的网页资料/文章，因此我们需要挖掘有价值的数据，那么这个时候我们需要通过ETL（Extract,Transformation,Loading）工具才能将数据转化为结构化数据之后，数据才可以的有效的利用。2.ETL:原始资料->ETL脚本->结构化数据食材->厨师->美食3.如

 自我介绍： 我是来自天朝下重庆大学的一名程序猿，或者叫我程序羊（因为我的名字叫东阳），哈哈，其实我自己也有博客，同时也运维着几个网站，但为啥还要来CSDN呐？写下着第一篇文章的时候，正是我大二开学的时间，在老师讲课期间说起我们在学习的时候应当写写博客，记录一下自己开发或学习中遇到的问题，也是方便我们深入的理解，在未来的日子，坚持写下去，一定会有更多的收获！为此，今天开通了CSDN...