Follow me on GitHub

掌握这两招,让你变身K吧人气达人——论KM上的两个CSRF漏洞

从绿盟科技的《2014互联网金融安全报告》中可以看到,XSS和CSRF漏洞依然是影响比较突出的两个安全问题。

在这里分享下之前发现的两个内网知识管理系统(KM)的问题,KM系统个人主页的访问记录关注操作都接受GET请求,只需要构造请求就可以实施一次CSRF攻击。

先看看增加关注者的方法。通过网页代码可以看到,在他人的个人主页上点击“添加关注”按钮时调用的是getJSON方法,且未验证请求来源,于是要欺骗系统就变得异常简单,只需要满足两个条件:

  1. 构造请求到关注接口;
  2. cookie中带有用户信息(用户已经登录)。

More >

茵特拉根温泉一日游

跟了个华侨城一日游的团,始发点基本上齐,没有中途上客所以到得比较早,请容许我用一张全景图开场:

拿着茶溪谷的门票发现游乐场已是人山人海,游乐项目几乎每个都要排队,那画面太美我不敢拍大家自行脑补。

More >

微信webview远程调试

1月10日,微信公众平台对外开放了微信内网页开发工具包(微信JS-SDK)。在广大开发者和微信营销圈内产生了巨大反响。

JS-SDK在丰富了HTML5应用能力的同时,也带来了开发复杂度的提升。主要有以下几个方面:

  1. 微信webview中的缓存、localStorage等特性与原生浏览器的差异
  2. 盲人摸象隔靴搔痒,无法给臭虫最直接的打击
  3. 市面上的各种调试工具增加额外的学习成本,不如直接使用已熟手的 开发者工具。

在此背景下,开发者们需要一种更加便利的方式来面对挑战,提升效率。

More >

分分钟把你的网站装进微信中

利用周末两天搭了个服务,通过这个服务能让微信公众号具备检索你网站信息供用户搜索的能力。具体而言,就是订阅者发送任意消息到你的公众号,就可以获得你网站上的相关内容。你要做的仅仅是到公众平台完成简单设置(如果你还没有公众号请到这里注册),而无需对网站做任何改动,这个服务会替你完成网站内容的索引和检索工作(jekyll生成的纯静态网站尤其受用,Github pages用户还不快快搞起~)。

设置方法:

More >

全民Git

标题由来是轰动一时的微信游戏“全民打飞机”。
对Git的第一印象就是各种命令行(对比 git help -a 和 svn help的命令清单可知),这篇文章的目的就是希望能借助图形化的工具TortoiseGit和Gitlab,不需要太多了解实现的细节和原理就能够完成基本操作,满足日常开发的需要。就像全民飞机大战把游戏引入原先单纯的社交工具微信,为公司探索出新的盈利模式那样。

More >

2014中秋月

事情是酱的:
中秋没回家,晚饭后在小区周围转了一圈找不到月亮的影子,扫兴的在微信群里嚷到:“说好的圆月呢,头一年在深圳过中秋啊喂!”

More >

移动设备浏览当前页