1 天前
今天看一些文章,不看还好,看了快吐血了!这个世界是有灵魂,有神明的,绝对不是迷信的那种,不是遇到事情就要烧香拜佛的那种。烧香拜佛我还真不会。然,我却信佛,因佛经里是满满的知识,沉甸甸的知识,甚至有新知识,神吧!。 什么是神明,实际就是圣贤。是造福全人类的圣贤。这个地球的进化实质是天人共造的。人类根本就没有那个智慧。这个地球上有几个科学家能造福全人类的。所有时代进化工具又是几个是科学家造就的。因为他们不可思议的存在,因为他们有无边智慧与学识。是他们暗中帮助人类的。 就佛经而论:是认知学、行为学、逻辑学...
观行记录小结-2010.01.25 首先感谢,现在世无量寿庄严清净佛赐以的观行机会及在观行中的指点与教授。使得我有所觉悟,并能将所觉悟记录下来。 正文: 以最好的,最佳的里程碑(终点)作为起点,向起点进军,也就是人们所说的以终为始。与以起点向最好的,最佳的里程碑(终点)进军,虽然出发点不同,但是,它们的路径是相同的、相通的,只是行动方向相“向”而已。也就是说,这一路径(轨道)上的每一个站点(里程碑)实际上是相同的,只是行动的方向相向而遇罢了。 这一认知与觉悟是“佛”的指点。 这是检验技术思路、方向,...
《论平等》 写于法国大革命时期,旧有秩序被打破,新的秩序正待被建立的岁月里。 作者勒鲁是从基督教里找到人类平等的论据的,并据此发展出了一个很有趣的概念,叫做人类宗教。大概是说每个人受惠于人类社会的历史积累,并应当反哺人类社会,在人类社会里,每个人都跟其他人休戚相关,所以每个人都是平等的。 最后的推论更加有意思,通过教育和社会财富的再分配,勒鲁的人类宗教思想影响了西欧和北欧的社会发展,我一直很不屑的高福利高平均化的现代欧洲社会,竟然就是受此思想的影响而形成的! 《霍乱时期的爱情》 简直是爱死了这本书。...
日子过的太快,记录的笔有点跟不上,只好来个一周综述了。 1月12日 《自行车,自由之轮》 最早的自行车前轮巨大而后轮小,原因是没有使用链条来传动,所以脚蹬一圈前轮就转一圈,前轮大的设计可以提高车速。 自行车在无意中重构了社会的秩序,因为骑车的时候,人人平等。 《知无涯者》 拉马努金是婆罗门,而婆罗门不能出国,也必须吃素。违背这两条戒律,使得拉马努金去了剑桥后一直抑郁。 书里关于培养天才的制度土壤,没什么发言权。 《大洋国》 这本书主要讨论了共和制政体。原来这本讨论英国政体的书却是在美国结出了果实。切...
《为什么学生不喜欢上学》 记忆是思考的残留物,要有有意义的思考,才能帮助我们记住所学的东西。通过讲故事的方法,也能起到很好的记忆效果。 比较震撼我的地方是关于学习的目的:学习的目的是学会抽象思维,把已知的观点延伸到未知的领域,从个别中抽调出一个抽象的观点,成为一种“知识”,在头脑中固定下来,供以后使用。只有一种知识成为下意识,才能不占用工作记忆。 《李光耀观天下》 解读里提到了一个有趣的观点,当前社会有两种截然不同的声音:美国质疑论和 中国质疑论。仔细想想,还真是。 李光耀观天下的4个衡量因素:人口...
《太阳全书》 记住了一堆零碎知识: 太阳的活动周期是比较稳定的11年,前两年比较沉寂,马上又快活跃了。极光估计这两年会渐渐好看起来,因为它就是太阳喷射的粒子在地磁场作用下汇集到北极附近后的放电现象。 太阳的自转速度在各个纬度上并不相同,赤道快而两极慢。于是太阳慢慢被拧紧,太阳磁场因此也被扭曲。磁场缠绕形成的节点上,能量被磁场束缚住,无法对外释放,所以温度偏低,称谓黑子。黑子能量积攒过对之后就会爆发,形成耀斑和日珥。
呓语无韵…无韵……无韵……… 1- 万里长风穿微杨, 七支悠香沁心肠。 点点繁星缀月朗, 不及山岚盈眼望。 2- 毫厘纸,千里情。 尺素信,寸寸思。 3- 歌舞未央夜, 弦柱思华年。 肥瘦依旧时, 红绿隔经年。 4- 脉脉晨霜露, 双眸映红霞。 愿为摘星斗, 试得君心意。 5- 悸 红衣 眼前人 识得天上 朗月照乾坤 桃花一潭盈盈 千尺不及思君情 万里拂过满席酣畅 清风又讨得枇杷欢喜 万里香千尺芳寸寸难忘 无意随抛尽数落君怀 掩面连悔举止不礼 奈何枇杷分外俏 左停杯右投箸 不言了然笑 一舟枇杷 桃花...
一.什么是Waf? Waf的全拼为:Web Application Firewall,顾名思义Waf是一款专针对Web应用攻击的防护产品。当Web应用越来越丰富的同时,大部分交互都转移到了Web上,与此同时Web也成为了主要的攻击目标,此时Waf就成为了安全防护中的第一道防线,Waf在安全中的重要性不言而喻。 二.Waf形态分类 目前市面上的Waf的形态可以简单分类为三种,分别为: 硬件Web防火墙 Web防护软件 云Waf 硬件Waf通常的安装方式是将Waf串行部署在Web服务器前端,用于检测、阻...
一、JavaWeb安全基础 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题,由于Java本身是编译型语言,所以即便只有class文件的情况下我们依然可以对Java代码进行审计。对于未编译的Java源代码文件我们可以直接阅读其源码,而对于已编译的class或者jar文件我们就需要进行反编译了。 Java代码审计其本身并无多大难度,只要熟练掌握审计流程和常见的漏洞审计技巧就可比较轻松的完成代码审计工作了。但是Java代码审计的方式绝不仅仅是使用...
https://su18.org/post/EiNzuduRG/
0x00 前言 上一篇文章 《Bypass ngxluawaf SQL注入防御(多姿势) 》有幸被管理加精,激发了我做技术分享的热情。 这里立个flag,如果这一篇文章也有幸被加精,就努力多找几款WAF,写成一个Bypass系列,彻底贯彻我的id。 在服务器客户端领域,曾经出现过一款360主机卫士,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影。 从半年前测试的虚拟机里面,翻出了360主机卫士Apache版的安装包,就当做是一个纪念版吧。 这边主要分享一下几种思路,Bypa...
一、前情提要 最近实验室大佬在写一个渗透测试框架,目的是在出去做渗透测试项目的时候能够快速发现漏洞,以及实施快速打击。 但无论大小型的扫描器、扫描框架等,结果的真实性、内容丰富性和效率、效用都会形成一个矛盾,因此,能够性价比最高的发现问题都是扫描框架首要的任务。 对于检测注入这个位置,我们希望能够快速发现,不需要实际注入得出数据,然后想着正好学习一下sqlmap的源码,能够使用的部分直接拿过来,再根据实际作用改一改。于是就有了这篇文章。对于我的水平应该是99%都看不懂的,但是好在网上相关文章不少。 ...
0x0 前言 嗅探装置价格低廉,很容易买到,一般几百块钱就可以配一套。一般使用摩托罗拉C118手机主板、天线、串口模块改装成嗅探设备。现在虽然大家都用4G的LTE网络了但是还有大量的2G的GSM网络存在,现在的GSM网络主要是中国移动的用户,中国电信没有GSM网络,中国联通在清退GSM网络,中国移动先清退的是3G 的TD网络而不是2G的GSM网络。GSM网络有一个很大的缺陷就是有很多的伪基站存在,在说伪基站之前先说我们相互之间通信的过程。我们打电话/发短信的过程是,手机信号是连接到离你最近的基站(B...
My love
9 天前
叨叨要我写一份情书给她和宝宝,情书?没错。 我俩结婚不到两年,当下还有宝宝在孕期,满满的期待和幸福。 还记否,你我怎样相遇,哈,不记得了。只记得在QQ上认识,是你加的我,还是我加的你,记不清了,既然想不起,那就当我主动加的你吧。可能你那时施展了什么神奇的魔法,无意中点到了我,从那时起,剧本已写好,我便入了戏。 年少的我,踌躇满志,意气风发,对未来的无限风光充满期待,对那神秘的你充满好奇。懵懂的心总在“胡思乱想”,什么样的女子,谈吐优雅,言语亲昵,却又难觅一张像片。。。让我如痴如醉。。。 那天,晴空万...
0x00:简介 * shiro近期纰漏了一个漏洞,定级为Critical,是利用Padding Oracle Vulnerability破解rememberMe Cookie,达到反序列化漏洞的利用,攻击者无需知道rememberMe的加密密钥(绕过之前的漏洞修复)。* 针对Padding Oracle Attack(填充提示攻击)做个详细的分析和验证。 0x01:验证示例 搭建存在漏洞的环境 https://www.hackingarticles.in/hack-padding-oracle-la...
https://www.codesec.net/python.html
安全圈里有句老话 一切的用户输入都是有害的 的确,我们的所有安全测试都是基于这一点的.既然 用户的一切输入都是有害的 那么怎样使这个危害显现出来呢,这就引入了安全的另一句话 有害的数据进入了危险的函数便产生了漏洞 ,因此我们可以总结出安全的两个基本点 数据 和 函数 ,我们所做的所有安全相关的工作都是基于这两点。代码审计自然也不例外。 根据这两点,代码审计中又出现了两大审计的基本方法 分别是: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小...
前言 是否有在开发完项目发布以后才被告知你的项目代码存在安全问题,还要回去重温代码逻辑,重新修改发布,是不是特别不想做这一件重复劳动的事情? 这边给大家介绍一款可在本地使用的代码安全扫描插件,方便在开发阶段自动化安全检查,降低漏洞修复时间和减少漏洞出现的概率。 插件简介 插件介绍:Find-Sec-Bugs 是一款本地 bug 扫描插件 “FindBugs-IDEA” 的 Java 安全漏洞规则扩展库,它支持在多种主流 IDE 环境进行安装:Eclipse, IntelliJ, Android St...
https://www.n0tr00t.com/2018/08/30/Python-dynamic-codereview.html 议题 PPT 下载地址:[/static/ppt/KCon-2018-Python-dynamic-codereview.pptx ](https://www.n0tr00t.com/static/ppt/KCon-2018-Python-dynamic-codereview.pptx) 0x00 动态代码审计用处 大型项目代码结构复杂 有些危险的功能隐藏较深(危险的定...
HTTP Decrypt 利用HTTP协议 远程加解密数据包,实现Burp一条龙服务。 背景 在做APP渗透测试的时候,通常通信协议基本都做了加解密功能,每次都需要去逆向APP并寻找到加解密算法后,针对写Burp插件,这么一个流程下来花费了一大堆的时间,万一遇到加固,又要耗时间去脱壳,这尼玛遇到壳又脱不了,咋怎,最后利用几分钟来抓包改包,然后发现0高0中0低...我枯了,你们呢。 HTTP Decrypt 提供了Finds Hooks模块,可以在不逆向不脱壳的情况下快速的找到APP所使用的加解密算法...
1.参投条件 参投大于等于0.001Xin,且只许整数倍,即可。 注意事项: SS只认定参与者的Mixin ID,所以请选择一个完全私有的Mixin ID来参与节点。如果由参与者自身失误造成的损失(如密码丢失或泄露等),该损失完全由参与者自身承担。 现已参与SS节点的老用户(持有SXIN,以及未关联的SS老用户)可以优先进入下一周期,后续会有相关公告,望各位SS用户持续关注。 新老用户均可关注SS的小迷圈(7000103049),可咨询,了解相关信息。 2.筹集Xin token 参与者通过Seed...
2019.2.21 6点醒来顺手录了一分钟小猪打呼呼又睡了 追剧恐怖游戏《devotion》 合吃两大包螺蛳粉 2019.2.22 晚饭腊肠木耳胡萝卜蛋炒饭配萝卜肉汤好好吃,又咚咚得了。 吃饱喝足继续追剧《devotion》,没想到结局这么伤感。不到最后你永远无法知道它的中文名《还愿》的意思。 游戏中有暗示陪伴就是希望,关爱家人,远离迷信。 既然这个游戏非常的不错,我们就决定追剧它的前作《返校》。虽说是个2D的游戏但真的好恐怖啊。(我好像想起了什么…哼…哼…) 看不完了,明天继续。 喝完咖啡一起去取...
Django框架--学习总结(十一) Dajango 是 python 的 web 应用框架之一,应用非常广泛。作为这阶段我的学习目标,读完了三本关于 Django 的书,边读边实践复制完成了一个基于 Dajongo 的论坛项目,做个总结整理一下实践中的问题和心得。 三本书中,xue.cn 上有两本,还有一本是 《A Complete Beginner's Guide to Django》。总体评价,xue.cn 上的这两本成书质量一般,对于想要进阶的初学者来说并不是最好的选择,而上面这部英文书(虽...