weixin_45960266的博客

原创 关于 “宏“

在Microsoft Excel中使用宏的教程：https://www.ablebits.com/office-addins-blog/2014/12/02/run-excel-macro/XWiki官方文档中有关于宏的详细说明：https://www.xwiki.org/xwiki/bin/view/Documentation/DevGuide/Macros/宏在计算机语言中的使用实例：https://www.geeksforgeeks.org/macro-in-c/

原创 极难利用的XSS（CVE-2023-22462）

本身XSS的利用成本就很高，选哟用户交互才可以实现，再加上React的呈现周期，就更难利用了。

原创 CSP（内容安全策略）

需要注意的是，正确地配置CSP需要开发者对Web应用程序中的资源来源有深入的了解，并进行适当的配置。同时，CSP本身也存在一些局限性，例如无法防止服务器端攻击等问题，因此需要综合使用其他安全技术来保护Web应用程序的安全。CSP还可以指定允许的图片、样式表、字体和其他资源的来源，以及禁止使用内联脚本和样式等不安全的内容。内容安全策略（CSP，Content Security Policy）是一种通过限制浏览器执行不安全内容来减少跨站点脚本攻击（XSS）等Web攻击的机制。

原创 关于浏览器执行代码和渲染的区别

在渲染过程中，浏览器会解析HTML、CSS代码，构建DOM树和CSSOM树，然后通过布局和绘制操作将它们转换为可视化的页面元素，并显示在用户界面上。执行过程中，浏览器会根据代码逻辑进行计算、操作DOM元素、发送AJAX请求等操作，最终会产生对页面的变化或交互效果。浏览器渲染内容指的是将HTML、CSS等代码转换为可视化的页面元素的过程，它的。浏览器执行代码指的是浏览器解析并执行JavaScript代码的过程，它的。浏览器执行代码和渲染内容是两个不同的概念，它们的区别在于执行的。

原创 简单介绍API Platform Core

需要注意的是，在集合终端节点中只有集合中的第一个项受到 security rule 的约束，因为结果被缓存并重用于集合中的下一个项。3、如果需要授权，API Platform Core 将检查当前用户是否已经登录，并使用 Symfony Security 组件检查该用户是否具有访问集合终端节点的权限。4、如果用户已经通过授权验证，则 API Platform Core 将执行所有已定义的数据变换操作，例如筛选、排序和分页。2、首先，API Platform Core 会检查集合终端节点是否需要进行授权。

原创 解决 Dependency ‘org.apache.hadoop:hadoop-aws:2.10.1‘ not found

对照着hadoop-azure来下载jar等即可（文件夹需要自己创建，_remote.repositories是字节大小都是210，所以我直接复制过来用了）当时以为是没有找到对应的hadoop 版本，于是打算从已经安装版本中找一个看看，但是后来发现是有的。在maven中央仓库是有的，但是在我所配置的ali的镜像仓库中没有。本文用于解决阿里仓库没有需要去maven中央仓库下载的依赖。所以可以在maven中央仓库下载。

原创 tpl 与 php

如何composer下载指定版本的项目。以thinkphp为例。

原创 如何composer下载指定版本的项目

如何composer下载指定版本的项目。以thinkphp为例。

原创 使用composer install 方式的web页面和使用phpstudy 方式的web应用有什么区别

个人理解：phpstudy集成了 php apache 数据库等，而使用composer则会一条一条的加进来。

原创 为什么修改A组件时B组件也会受到相应影响

其实不是一个东西多么难学，怎么学这个东西，从哪里入手来学，才是重要的。选择好这些，就没那么难。原因2：两个组件使用同一份build.xml，使用ant等工具构建为不同的制品。原因1：直接依赖或者间接依赖。

原创 【解决】python setup.py egg_info did not run successfully

在我使用 conda 安装fairseq 出现了如下问题。跟着报错改了很久也没用，随后发现原因出在conda身上。不要使用conda，直接使用原生的python下载就好。

原创 SCA是什么

而国内企业的应用系统也存在同样的问题，比如漏洞频发的Fastjson库，攻击者可利用其反序列化漏洞，远程命令执行入侵到企业服务器，通过服务器执行命令，危害性极大。根据国外安全机构的调研报告显示，企业应用代码超过80%来自第三方资源库或第三方组件，97%的java程序至少存在1个已知安全漏洞，而由第三方代码缺陷导致的信息泄露漏洞占比高达72%。开源代码的使用大幅度提高软件研发效率、缩短上市时间、降低开发成本，但是开源软件中存在的大量缺陷、甚至安全漏洞也一并进入了软件部署包，为软件带来巨大的安全风险。

原创 VIP是什么

VIP：虚拟IP地址；作用可以类比127.0.0.1来理解；主要是要给外界一个路标，具体怎么走不是他的事；参考：https://www.zhihu.com/question/67682565

原创 公有云，私有云，混合云

私有云：仅为一个用户建立的；数据什么的都这一个用户所有；公有云：公开使用，大家都可以用；混合云：以上两者并存；参考：https://zhuanlan.zhihu.com/p/394385063

原创 经典网络和VPC

经典网络：没有隔离，IP随机分配不过，即便是私有云也可以分为经典网络和VPC（猜测）VPC：划分出来的一块虚拟空间，租户可以自己搞IP，搞VLAN，搞隔离参考：https://www.huaweicloud.com/zhishi/edu-arc-hwywlfw02.html...

原创 对于-bash: syntax error near unexpected token `(‘的解决

如下图 加个反斜杠转义一下就好

原创 Dependency XXX not found

检查步骤：1、java类中有引用2、pom中有Dependency 引入我的是没有开启repo开启即可~

原创 解决报错Failed to start LSB: Bring up/down networking

同样的这个也可以解决linux ping不通 宿主机，因为network没开启解决报错Failed to start LSB: Bring up/down networking：MAC地址导致（https://www.cnblogs.com/python-wen/p/11607969.html）大佬文章提到两种解决方式，但都不适合我1、关闭NetworkManager2、更改MAC我试了，都没有成功后来我发现我的网卡名字不对，我就更改了一下，虚拟机的内存大小就成了这个样子后来复制了一下网卡，更

原创 linux复习题库

1在BIND服务的named.conf配置文件中,以下()类型的zone记录表示根域（2.0分）2.0 分A、MasterB、HintC、SlaveD、Forward正确答案： B 我的答案：B答案解析：2Web虚拟网站的类型不包括( )。（2.0分）2.0 分A、使用多个ip地址创建多个站点B、使用主机名称创建多个站点C、使用不同端口创建多个站点D、使用多个文件夹创建多个站点正确答案： D 我的答案：D答案解析：3哪个命令可以允许 198.168.0.0/24

原创 （叠词检查器）检查word文档的连续重复字，例如“用户的的资料”或“需要需要用户输入”之类的情况。Word测试文档的内容由学生决定。

检查word文档的连续重复字，例如“用户的的资料”或“需要需要用户输入”之类的情况。Word测试文档的内容由学生决定。import re# 导入正则的一个模板from docx import Document# 导入一个模板，来使用doc文件doc =Document('testdoc.docx')text = ''.join( (p.text for p in doc.paragraphs) )# 把内容放到text里面result = re.findall(r'(([\u4e00-\u9

原创 （1）统计指定目录中所有C++源程序文件中不重复代码行数。目录路径由学生给出

统计指定目录中所有C++源程序文件中不重复代码行数。目录路径由学生给出# import os# #注意路径问题# repeat =0# count_lines = 0# file_list=os.listdir(".")# for filename in file_list:# pos=filename.find(".")# # 这里有一个 find函数，用来查找 .# if filename[pos+1:]=="cc":# # pos+1 :

原创 判断一个文件是否为GIF图像文件，运行程序，并给出测试结果。

判断一个文件是否为GIF图像文件，运行程序，并给出测试结果。# import os# #注意路径问题# file_list=os.listdir(".")# for filename in file_list:# pos=filename.find(".")# # 这里有一个 find函数，用来查找 .# if filename[pos+1:]=="gif":# # pos+1 : 表示切片，后缀必须要是gif# print ( f

原创 将当前目录的所有扩展名为“html”的文件修改为扩展名为“htm”的文件

将当前目录的所有扩展名为“html”的文件修改为扩展名为“htm”的文件## import os# #注意路径问题# file_list=os.listdir(".")# for filename in file_list:# pos=filename.find(".")# # 这里有一个 find函数，用来查找 .# if filename[pos+1:]=="html":# # pos+1 : 表示切片，后缀必须要是html#

原创 对象写入二进制文件

把 13000000，99.056， ‘中国人民123abc’， [[1, 2, 3], [4, 5, 6], [7, 8, 9]]， (-5, 10, 8)， {4, 5, 6}， {‘a’:‘apple’, ‘b’:‘banana’, ‘g’:‘grape’, ‘o’:‘orange’}等对象写入二进制文件sample_pickle.dat中。# f1 = open('sample_pickle.dat','w+b')# f1.write(b"13000000")# f1.write(b'99.0

原创 数据库——简答，选择、填空

数据库——简答，选择、填空视图的作用可以简化用户操作可以让用户从多角度看待同一数据为重构数据库提供了一定的逻辑独立性可以为机密文件提供安全保护适当利用视图可以更加清晰的表达查询什么是参照完整性若属性F是基本关系R的外码，它与基本关系S的主码KS相对应，则对于R中每个元组上F的值要么为空值，要么为S中某个元组主码的值E—R图之间的冲突属性冲突命名冲突同名异义或同义异名结构冲突关系数据模型的构成关系数据结构关系数据操作关系完整性约束数据模型的构成数

原创 记录一次tomcat安装

tomcat安装1、准备1-1、tomcat1-2、jdk2、过程2-1、首先安装tomcat这里以8.5.63为例安装后解压2-2、配置环境变量将安装包解压到系统目录下（此处为D盘下），通过Windows服务安装Tomcat，运行bin/service.bat批处理脚本service.bat install，如下所示。由于我的安装过了，这里借用网络图片安装完成后，配置环境变量。1.配置CATALINA_HOME，变量值：D:\apache-tomcat-8.5.562.在

原创 kali配置

kali虚拟机联网配置kali安装完好久了，一直没有用，今天把想用发现没联网，就配置了一下，这里总结一下。另外，目前比较小白，配置的时候很多东西不是很明白，所以文章难免有错误，错误之处还请指出，斧正配置网络方案1、桥接 网关等设置为静态的2、NAT 设置为动态的一些 比较细碎的设置1、防火墙关闭（这个如果没有关，主机 虚拟机可能ping 不通）2、服务是否打开在服务中查看这些vm都开启没，没有打开的记得打开用到的命令cat 查看vi 编辑i

原创 渗透测试环境搭建

原创 CSRF学习及DVWA——CSRF通关

原创 攻防世界—— Web_php_include

攻防世界—— Web_php_include题目解题先读一下代码1、获取一个hello 没啥用，后面也没有用到2、page被包含了，这里page由地址栏动态获取3、strstr函数，用于检验一个字符串是否出现过4、str_place 字符串的替换首先，查看源代码，没什么东西因为是显而易见的文件包含，所以用filter全部转换看一下（这一步其实错了，因为已经可以看到源代码了，所以这一步没用且多余）我还去解码了一下，啥用也没又用input执行了命令这里可以得到 all

原创 攻防世界—— Training-WWW-Robots

攻防世界—— Training-WWW-Robots题目解题前面的题目没有给提示，从题目中可以大概看出是关于爬虫协议的题目读取情景的提示从这个页面中可以看出，情景要做题者学习 关于爬虫协议的东西于是，查看爬虫协议得到线索，flag.php总结g-8zUxlDKh-1613580021889)]总结本题目较为简单，只要知道爬虫协议就可以完成。简单区中有道基本一样的题目。...

原创 攻防世界 baby——web

攻防世界 baby——web题目打开就这个样子，什么也没有。根据前面题目提示，觉得线索应该在index.php反复输入index.php 也是没能打开 应该是页面跳转了。打开网络，什么也没有，换用bp重发，将1.php 改成index.php 果然得到flag总结hp 果然得到flag总结不过说真的，刚开始确实没思路，应该题目做得少，不明白他的一个出题风格...

原创 PHP学习之文件包含

PHP学习之文件包含定义与产生在项目实践中，有很多的代码需要重复调用，这是只要将需要重复调用的代码写在一个文件当中，重复调用这个文件就好。分类动态、静态：输入内容用户是否可控远程、本地：文件源在哪里向上、向下：被包含文件是作为文件源，还是输出通道主要函数include ：包含并执行文件include_once 与include相同，区别在于会自动判断是否某个文件，一个文件只包含一次requirerequire_oncerequire 、require_once 与in

原创 PHP学习之文件包含

PHP学习之文件包含定义与产生在项目实践中，有很多的代码需要重复调用，这是只要将需要重复调用的代码写在一个文件当中，重复调用这个文件就好。分类动态、静态：输入内容用户是否可控远程、本地：文件源在哪里向上、向下：被包含文件是作为文件源，还是输出通道主要函数include ：包含并执行文件include_once 与include相同，区别在于会自动判断是否某个文件，一个文件只包含一次requirerequire_oncerequire 、require_once 与in

原创 树和二叉树

公式1.n个节点的二叉树一共有((2n)!)/(n! * (n+1)!)种2.n层二叉树的第n层最多为2^(n-1)个3.二叉树节点计算公式 N = n0+n1+n2，度为0的叶子节点比度为2的节点数多一个。N=1n1+2n2+14.对任何一棵二叉树T，如果其终端节点数为n0，度为2的节点数为n2，则n0=n2+15.具有n个节点的完全二叉树的深度为log2(n) + 16.n0=n2+1在完全二叉树也适用（好像完全二叉树也是二叉树，淦，白推导了）7.实在想不起来就现推导。1、要使一棵

原创 DVWA——xss 通关教程

xss注入的场景是一些论坛的留言板之类的，攻击者利用网页的漏洞写入程序脚本，当用户浏览的时候就会触发这个脚本。reflected的xss只能是一次性的，而stored的xss是永久的，写入到留言板之后，就传入到服务器当中，当再有用户浏览时就会触发。xss跟sql是非常想象的，最大的区别在于xss是前段，而sql是后端。且，xss很难获得webshell。reflected xsslow查看源代码，发现对于输入没有要求，所以直接写入入选xxs就可以了先设置难度为low查看源码发现没有任.

原创 网络层第一次测试

1.10个站连接在一个100Mb/s以太网交换机，则每一个站所能得到的带宽是集线器是共享性的，故如果是10台集线器，则为 10M交换机是独显性，故如果是交换机则为100M2.某网络的为B类IP地址，子网掩码为255.255.255.0，则网络的子网数为_______，每个子网的主机数是ip减二，网络前缀不减二3.下面有关虚拟局域网VLAN的描述，不正确的是默认有VLAN1 无法删除。...

原创 图解http，补充攻击方式。

在看图解http时候看到一些之前不知道的攻击方式，这里作为开阔视野，记录一下：1.HTTP首部注入攻击攻击形式是在响应部首加入换行符，借此去更改响应部首以及内容主体。例如：在选定了的响应部首内，插入换行符之后，再添加, 再次之后可以添加自己想要输出的内容，同时也会把原本的网页内容给注释掉。2.邮件首部注入攻击通过利用web应用的邮件发送功能的TO、subject，等功能实现攻击知识补充注入原理：这个地方首先要说一下邮件的结构，分为信封（MAIL FROM、RCPT TO）、头部（From，T

原创 up loads 第十六关

第十六关文件类型检查exif_imagetype() 读取一个图像的第一个字节并检查其签名。通过方法如上一关

原创 PTA 栈和队列

所谓“循环队列”是指用单向循环链表或者循环数组表示的队列。错误 这里是将循环队列想象成一个，闭合的圆圈，因此称为循环队列，并非基于数组或者链表且，队列基于数组 或者链表形成，但并非题目中的有单链表，或者循环数组表示的。 数组和链表只是作为基本单元去组成，这里的链表跟数组不同于 前面的单链表与数组。若用大小为6的数组来实现循环队列，且当前front和rear的值分别为0和4。当从队列中删除两个元素，再加入两个元素后，front和rear的值分别为多少？队列是0,1,2,3,4，，其中fron