2016年7月27日 星期三
2016年7月16日 星期六
xss
from: https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC
Cross-site-scripting
攻擊手段和目的[編輯]
攻擊者使被攻擊者在瀏覽器中執行指令碼後,如果需要收集來自被攻擊者的資料(如cookie或其他敏感資訊),可以自行架設一個網站,讓被攻擊者通過JavaScript等方式把收集好的資料作為參數提交,隨後以資料庫等形式記錄在攻擊者自己的伺服器上。
常用的XSS攻擊手段和目的有:
- 盜用cookie,取得敏感資訊。
- 利用植入Flash,通過crossdomain權限設定進一步取得更高權限;或者利用Java等得到類似的操作。
- 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻擊)用戶的身分執行一些管理動作,或執行一些一般的如發微博、加好友、發私信等操作。
- 利用可被攻擊的域受到其他域信任的特點,以受信任來源的身分請求一些平時不允許的操作,如進行不當的投票活動。
- 在瀏覽量極大的一些頁面上的XSS可以攻擊一些小型網站,實作DDoS攻擊的效果。
2016年7月15日 星期五
python
pip install -r requirement.txt
virtualenv env //create virtual env
source env/bin/activate // start virtual env
deactivate
pip install -e
pip list //view installed library
pip freeze > requirement.txt //npm -save
virtualenv env //create virtual env
source env/bin/activate // start virtual env
deactivate
pip install -e
pip list //view installed library
pip freeze > requirement.txt //npm -save
Pillow installation issue:
sudo yum install python-devel
sudo yum install zlib-devel
sudo yum install libjpeg-turbo-devel
PIP installation:
wget https://bootstrap.pypa.io/get-pip.py
python get-pip.py
2016年7月10日 星期日
DDOS Kali linux 教學
在 linux 上實現 DDOS 攻擊非常簡單, 只需要有2個工具即可
- perl - 多用作寫系統管理工具, Kali linux 預設就安裝好perl
- slowloris - 實作ddos 攻擊的套件, 只要一個指令即可安, 一個指令設定權限就可使用
本例子是開2台 VM , 一台 Kali 用作 DDOS 主機 , 一台 Ubuntu 用作 Apache2 web server , 而且監察所有的連線. 在影片可以看到, Apache server 剛啟動後網頁瀏覽暢順 , 但當DDOS連線攻擊開始後 , Apache2 server 進入癱瘓狀態 , 瀏覽器再度連線完全沒有回應.
- 第一步 - 安裝Slowloris
$wget https://raw.githubusercontent.com/lla...
$chmod +x slowloris.pl
$chmod +x slowloris.pl
- 第二步 - 執行 DDOS
$perl ./slowloris.pl -dns 192.168.1.106 -options
2016年7月7日 星期四
mac, vim color
1- Create this file
vim ~/ .vimrc2- Add this content in .vimrc
filetype plugin indent on
syntax on
set t_Co=256
set term=builtin_beos-ansi
set term=builtin_ansi
set term=xterm-256color
django tutorial
installation :
django-admin startproject mysite
python manage.py migrate
python manage.py runserver
model - migrate
DB
pip install Django
django-admin startproject mysite
python manage.py migrate
python manage.py runserver
manage.py
: A command-line utility-
mysite/
directory is the Python package for the project. Its name is the Python package name you’ll need to use to import anything inside it (e.g.mysite.urls
). mysite/__init__.py
: An empty file, considered a Python package.mysite/settings.py
: Settings/configurationmysite/urls.py
: The URL declarations for this Django project; a “table of contents” of your Django-powered site. You can read more about URLs in URL dispatcher.mysite/wsgi.py
: An entry-point for WSGI-compatible web servers to serve your project. See How to deploy with WSGI for more details.
model - migrate
DB
Module, package:
2016年7月5日 星期二
google storage nodejs 上傳教學
最近在整合 node server 檔案上傳到google cloud storage , 發現可以的工具只有 google 官方推出gcloud 工具. 但缺少和前端 檔案上傳 和 ACL 設定, 所以為大家介紹第三方套件, 針對上傳檔案到 google cloud storage 而設計 ,
https://www.npmjs.com/package/gcloud-storage-api
- 提供3個google cloud storage 檔案的function ,
前2個上傳function, uploadLocalFile 和 uploadBuffer 而且設定為public link 下載, 以 formidable 方式 獲得multipart 檔案和 json:
- googleAPI.uploadLocalFile(BUCKET_NAME, fileName, fileLocalPath)
- googleAPI.uploadBuffer(BUCKET_NAME, fileName, buffer)
- googleAPI.deleteStorageFile(url)
- 安裝:
$ npm install --save gcloud-storage-api
- 使用:
service-key 和 account 的設定可以參考官方教學:https://www.npmjs.com/package/gcloud
1- 到google cloud console 中新增 Credentials, 選 service account key
2- key 類型選 JSON , 檔案下載請放到nodejs 的目錄底下
3- 成功下載的service-key.json
4- service-key.json 的內容如下
{
"private_key_id": "******",
"private_key": "******",
"client_email": "******",
"client_id": "******",
"type": "service_account"
}
5- node_modules/gcloud-upload-api 有一個測試用的html 檔案, 可以用作測試
google storage nodejs 上傳教學
最近在整合 node server 檔案上傳到google cloud storage , 發現可以的工具只有 google 官方推出gcloud 工具. 但缺少和前端 檔案上傳 和 ACL 設定, 所以為大家介紹第三方套件, 針對上傳檔案到 google cloud storage 而設計 ,
https://www.npmjs.com/package/gcloud-storage-api
- 提供3個google cloud storage 檔案的function ,
前2個上傳function, uploadLocalFile 和 uploadBuffer 是以 formidable 方式 獲得multipart 檔案和 json:
- googleAPI.uploadLocalFile(BUCKET_NAME, fileName, fileLocalPath)
- googleAPI.uploadBuffer(BUCKET_NAME, fileName, buffer)
- googleAPI.deleteStorageFile(url)
- 安裝:
$ npm install --save gcloud-storage-api
- 使用:
service-key 和 account 的設定可以參考官方教學:https://www.npmjs.com/package/gcloud
1- 到google cloud console 中新增 Credentials, 選 service account key
2- key 類型選 JSON , 檔案下載請放到nodejs 的目錄底下
3- 成功下載的service-key.json
4- service-key.json 的內容如下
{
"private_key_id": "******",
"private_key": "******",
"client_email": "******",
"client_id": "******",
"type": "service_account"
}
5- node_modules/gcloud-upload-api 有一個測試用的html 檔案, 可以用作測試
訂閱:
文章 (Atom)