tan02034038的博客

相关文件意在帮助FortiGate设备的管理员以配置 案例的形式实现基本以及高级的FortiGate设备配置功能 希望可以帮到各位

自小程序2017年面世以来，微信小程序以其相较于APP的进入门槛更低，开发周期更短，费用更低的优势，已经构造了新的微信小程序开发环境和开发者生态。 当前，微信小程序已经赋能了社交、娱乐、旅游出行、购物、餐饮、支付、理财等多种场景。 但随着小程序生态的建立，其特有的安全风险也逐步显示出来：因为小程序本质也是网页交互，其通讯更容易被破解。 我们将从客户端和服务器两个层面学习微信小程序渗透测试。 客户端方面，主要是对微信小程序进行反编译，得到源代码，检测源代码的保护强度以及是否存在信息泄露，如密钥硬编码等。 在服务端层面，主要是依据微信小程序的特性，模拟攻击者从SQL注入、越权访问、文件上传、CSRF以及信息泄露等漏洞方面进行测试，这个其实与常规的web安全测试类似。 本此主要是对客户端测试的总结，包括操作流程，所需解密工具和反编译工具

Nginx在反向代理站点的时候，通常会将一些文件进行缓存，特别是静态文件。缓存的部分存储在文件中，每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件，则Nginx会直接将该文件中的“HTTP返回包体”返回给用户。 如果我的请求中包含Range头，Nginx将会根据我指定的start和end位置，返回指定长度的内容。而如果我构造了两个负的位置，如(-600, -9223372036854774591)，将可能读取到负位置的数据。如果这次请求又命中了缓存文件，则可能就可以读取到缓存文件中位于“HTTP返回包体”前的“文件头”、“HTTP返回包头”等内容