Web前端
文章平均质量分 56
wcf1987
这个作者很懒,什么都没留下…
展开
-
extjs的一个小设置
var mk = new Ext.LoadMask('DBGrid', { msg: '正在备份数据,请稍候!', removeMask: true //完成后移除 }); mk.show(); //显示 Ext.Ajax.request( { timeout:18000000, ...原创 2011-05-04 14:19:11 · 74 阅读 · 0 评论 -
mail xss
1 最近迷上了xss,感觉各种飘逸,特别是http://www.wooyun.org/whitehats/gainover的文章都非常好 2 然后去搞自己学校的邮箱,凭感觉应该不难,结果尝试了img 的各种方法失败,script标签变形失败,flash和object这种也不行,变形的还是蛮厉害的 3但是 xss:expression 这种还是中了,感觉这种的变形是最多的,各种绕,...原创 2012-08-11 21:57:36 · 192 阅读 · 0 评论 -
XSS学习二
1.xss学习到今天算是告一个段落了,发现了一个sohu邮箱的持久性XSS,可做后门危害还是大的,而且对sohu邮箱的整个体系也有了一定的研究,算是小有成就的http://www.wooyun.org/bugs/wooyun-2012-010385 2, 明天起继续搞android,并且准备找工作... ...原创 2012-07-31 15:48:39 · 92 阅读 · 0 评论 -
我的sinaapp
我的sinapp小家终于成型了http://icefish1987.sinaapp.com/ 截两张图 看看原创 2012-07-27 22:10:20 · 189 阅读 · 0 评论 -
phpcms v9的补充
前一篇留了个疑问:为什么file_get_contents(asdf&q=../../phpsso_server/caches/configs/database.php)可以读出文件呢, 他前面那个asdf&q=为什么没影响? 后来经过bacde大牛的指点: 写道前面的字符可以看成是一个文件夹名字 忽然间反应了过来,那么路径实际上就变成...原创 2012-07-25 21:28:55 · 115 阅读 · 0 评论 -
phpcms v9 爆密码
1.首先是http://www.wooyun.org/bugs/wooyun-2010-010072 有人报告phpcms v9 直接爆密码 开始我还比较迷惑,因为我记得我看过phpcms v9 的管理员密码体系是有salt的,光爆密码没啥用啊? 2.后面有人指出了是和前一个http://www.wooyun.org/bugs/wooyun-2010-09...原创 2012-07-25 20:47:02 · 498 阅读 · 0 评论 -
Extjs chart不显示问题
如果你们在用extjs3的时候,发现自己的chart怎么都不显示,查看json返回正确,firebug不报错,那么可以去查看下,网络包中是否请求了写道http://yui.yahooapis.com/2.8.2/build/charts/assets/charts.swf 这意味着你显示用的swf是远端调用,虽然看着依旧是200响应,但这个路径实际上已经不能...原创 2013-03-13 21:14:08 · 618 阅读 · 0 评论 -
CTF20 grab bag 400 write_up (三)
gb400这道题可谓是这册比赛最简单的一道了,思路直接,方法简单。题目要求提交某个用户a的余额首先这道题给了个url和登录帐户密码,登陆上去,然后有个登陆,有个查看,是个jsp的站,然后查看那里有个简单的sql注入,直接跑出用户名密码就可以登陆了,这里实际上是有个小tips的就是题目要求得用户a,在这里是查询不到的,但是你可以通过google查到这个知名人士的别名,就在这个sql注...原创 2012-06-04 15:58:06 · 96 阅读 · 0 评论 -
EXT charts中自定义坐标轴 标签
我们在现实使用中会遇到这样的情况,ext线图中,虽然传进来的是数字,y轴默认显示数字,但是我们需要吧他转换成一些别的东西,比如合格,改变格式(40->¥40)之类的应用,此时可以采用yAxis: new Ext.chart.NumericAxis({ displayName:...原创 2011-03-28 10:30:41 · 401 阅读 · 0 评论 -
cookie中转sql攻击
最近带了个实习生做了个sql注入练习,她找到了个asp网站的cooki注入漏洞,这个也是目前sql注入比较多见的地方,因为大部分网站在得到request的时候采用的都是request("xx"),这个方法实际上是把request中的get,post,cookie挨个遍历查询了下,目前大部分sql注入防御软件都封掉了get,post这两个漏洞,但是却对cookie视而不见。这个也是比较长...原创 2011-08-24 00:45:21 · 94 阅读 · 0 评论 -
extjs几个设置
extjs中的grid要设置 列线,就是框架线 columnLines:true, 为空验证blankText : '此项不能为空', allowBlank:false,原创 2011-05-06 12:19:50 · 108 阅读 · 0 评论 -
python调用 bing api search接口 技术
0x01 微软bing的api现在也放开了,可以供大家使用了,以前的v1板的时候采用的是appid的方式,这个网上有很多介绍了,可惜现在这个接口取消了,取而代之是新的认证方式 0x02 首先可以参考http://blogs.msdn.com/b/translation/p/gettingstarted1.aspx这个文章讲的就比较细了,注意的点不多, 0x3 首先注册的时候bin...原创 2013-01-24 23:42:23 · 1183 阅读 · 0 评论