2016年7月16日 星期六

xss

from: https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC




Cross-site-scripting


攻擊手段和目的[編輯]

攻擊者使被攻擊者在瀏覽器中執行指令碼後,如果需要收集來自被攻擊者的資料(如cookie或其他敏感資訊),可以自行架設一個網站,讓被攻擊者通過JavaScript等方式把收集好的資料作為參數提交,隨後以資料庫等形式記錄在攻擊者自己的伺服器上。
常用的XSS攻擊手段和目的有:
  • 盜用cookie,取得敏感資訊。
  • 利用植入Flash,通過crossdomain權限設定進一步取得更高權限;或者利用Java等得到類似的操作。
  • 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻擊)用戶的身分執行一些管理動作,或執行一些一般的如發微博、加好友、發私信等操作。
  • 利用可被攻擊的域受到其他域信任的特點,以受信任來源的身分請求一些平時不允許的操作,如進行不當的投票活動。
  • 在瀏覽量極大的一些頁面上的XSS可以攻擊一些小型網站,實作DDoS攻擊的效果。

2016年7月15日 星期五

python

pip install -r requirement.txt


virtualenv env //create virtual env
source env/bin/activate // start virtual env
deactivate 

pip install -e 




pip list //view installed library
pip freeze > requirement.txt //npm -save





Pillow installation issue:

sudo yum install python-devel
sudo yum install zlib-devel
sudo yum install libjpeg-turbo-devel



PIP installation:

wget https://bootstrap.pypa.io/get-pip.py
python get-pip.py


2016年7月10日 星期日

DDOS Kali linux 教學

在 linux 上實現 DDOS 攻擊非常簡單, 只需要有2個工具即可 


  1.  perl  - 多用作寫系統管理工具, Kali linux 預設就安裝好perl 
  2.  slowloris - 實作ddos 攻擊的套件, 只要一個指令即可安, 一個指令設定權限就可使用
本例子是開2台 VM , 一台 Kali 用作 DDOS 主機 , 一台 Ubuntu 用作 Apache2 web server , 而且監察所有的連線. 在影片可以看到, Apache server 剛啟動後網頁瀏覽暢順 , 但當DDOS連線攻擊開始後 , Apache2 server 進入癱瘓狀態 , 瀏覽器再度連線完全沒有回應.




  • 第一步 - 安裝Slowloris

$wget https://raw.githubusercontent.com/lla...
$chmod +x slowloris.pl


  • 第二步 - 執行 DDOS

$perl ./slowloris.pl -dns 192.168.1.106 -options

2016年7月7日 星期四

mac, vim color

1- Create this file 

vim ~/ .vimrc



2- Add this content in .vimrc

filetype plugin indent on
syntax on

set t_Co=256

set term=builtin_beos-ansi

set term=builtin_ansi


set term=xterm-256color

django tutorial

installation :

pip install Django 

django-admin startproject mysite

python manage.py migrate

python manage.py runserver



  • manage.py: A command-line utility 
  •  mysite/ directory is the Python package for the project. Its name is the Python package name you’ll need to use to import anything inside it (e.g. mysite.urls).
  • mysite/__init__.py: An empty file, considered a Python package.
  • mysite/settings.py: Settings/configuration
  • mysite/urls.py: The URL declarations for this Django project; a “table of contents” of your Django-powered site. You can read more about URLs in URL dispatcher.
  • mysite/wsgi.py: An entry-point for WSGI-compatible web servers to serve your project. See How to deploy with WSGI for more details.


model - migrate 
DB





Module, package:

2016年7月5日 星期二

google storage nodejs 上傳教學

最近在整合 node server 檔案上傳到google cloud storage , 發現可以的工具只有 google 官方推出gcloud 工具. 但缺少和前端 檔案上傳 和 ACL 設定, 所以為大家介紹第三方套件, 針對上傳檔案到 google cloud storage 而設計 ,

https://www.npmjs.com/package/gcloud-storage-api



  • 提供3個google cloud storage 檔案的function , 

前2個上傳function, uploadLocalFile 和 uploadBuffer 而且設定為public link 下載, 以 formidable 方式 獲得multipart 檔案和 json:
  • googleAPI.uploadLocalFile(BUCKET_NAME, fileName, fileLocalPath)
  • googleAPI.uploadBuffer(BUCKET_NAME, fileName, buffer)
  • googleAPI.deleteStorageFile(url)



  • 安裝:

$ npm install --save gcloud-storage-api



  • 使用:

service-key 和 account  的設定可以參考官方教學:

https://www.npmjs.com/package/gcloud


1- 到google cloud console 中新增 Credentials, 選 service account key



2- key 類型選 JSON , 檔案下載請放到nodejs 的目錄底下


3- 成功下載的service-key.json 

4- service-key.json 的內容如下
{
  "private_key_id": "******",
  "private_key": "******",
  "client_email": "******",
  "client_id": "******",
  "type": "service_account"
}

5- node_modules/gcloud-upload-api 有一個測試用的html 檔案, 可以用作測試












google storage nodejs 上傳教學

最近在整合 node server 檔案上傳到google cloud storage , 發現可以的工具只有 google 官方推出gcloud 工具. 但缺少和前端 檔案上傳 和 ACL 設定, 所以為大家介紹第三方套件, 針對上傳檔案到 google cloud storage 而設計 ,

https://www.npmjs.com/package/gcloud-storage-api



  • 提供3個google cloud storage 檔案的function , 

前2個上傳function, uploadLocalFile 和 uploadBuffer  是以 formidable 方式 獲得multipart 檔案和 json:

  • googleAPI.uploadLocalFile(BUCKET_NAME, fileName, fileLocalPath)
  • googleAPI.uploadBuffer(BUCKET_NAME, fileName, buffer)
  • googleAPI.deleteStorageFile(url)



  • 安裝:

$ npm install --save gcloud-storage-api



  • 使用:

service-key 和 account  的設定可以參考官方教學:

https://www.npmjs.com/package/gcloud


1- 到google cloud console 中新增 Credentials, 選 service account key



2- key 類型選 JSON , 檔案下載請放到nodejs 的目錄底下


3- 成功下載的service-key.json 

4- service-key.json 的內容如下
{
  "private_key_id": "******",
  "private_key": "******",
  "client_email": "******",
  "client_id": "******",
  "type": "service_account"
}

5- node_modules/gcloud-upload-api 有一個測試用的html 檔案, 可以用作測試