Follow me on GitHub

心路历程

本站已停止更新

最新内容请访问:

https://blogS.kainy.cn/rss

此处仅作存档。

掌握这两招,让你变身K吧人气达人——论KM上的两个CSRF漏洞

从绿盟科技的《2014互联网金融安全报告》中可以看到,XSS和CSRF漏洞依然是影响比较突出的两个安全问题。

在这里分享下之前发现的两个内网知识管理系统(KM)的问题,KM系统个人主页的访问记录关注操作都接受GET请求,只需要构造请求就可以实施一次CSRF攻击。

先看看增加关注者的方法。通过网页代码可以看到,在他人的个人主页上点击“添加关注”按钮时调用的是getJSON方法,且未验证请求来源,于是要欺骗系统就变得异常简单,只需要满足两个条件:

  1. 构造请求到关注接口;
  2. cookie中带有用户信息(用户已经登录)。

More >

Heyo,Tencent

 

福建人,07年起在省会福州读书,学的是网络工程,之后在福州从事web开发工作,直到昨天终于加入向往已久的企鹅大家庭。

 

我的业余兴趣不算广泛,除了游泳、跑步外偶尔会到健身房里流流汗,除了篮球和乒乓其他球类运动都不太擅长。最大的梦想是身上多长两斤肉,这样打篮球肢体碰撞时就不那么吃亏啦。。

除运动外我还喜欢阅读、勤于思考热爱学习,乐于体验新鲜事物尤其是互联网产品和服务。

More >

17173 一年半

那天发了一条微博,感谢厝边经历的,有朋友就好奇问:你上一个就职的公司不是173么,怎么玩起了跳跃呢。

173是我成为真正意义上职业人的开端。说到173印象深刻的人那就太多太多了。首先是领我入门的简简同学和“一个挺纠结的IT猎头”leo;其次是部门老大志宽,由于自己的不专业,初期捅了不少篓子都是老大兜着,还好有这强大的后盾,不然也许早扫地出门了;我的名义导师——“高鼻子欧巴”顺林,以及爱海淘爱乐高玩具的好搭档昭健同学;每天一起吃午餐的好基友志忠—育名组合;总能快速找到答案给人启发的丸子组长;技术实力派开发工匠Benqy;在部门尾牙“疯狂舌吻”的胡子同学;还有通行证项目组的小伙伴们。。。
有些小伙伴甚至来不及道个别,不过人生何处不相逢。

然而天下无不散之宴席,每次离别中都含着它的苦衷,决不仅是简单的待遇高公司大。要知道个人对产品成功的成就感与团队规模成负相关;公司实力也非个人能力充分条件。所以个人更倾向于把这看作成长路上每个人都在收获着各自所追求的——大伙或者收获了另一半或者收获了家庭,或者带领着团队或者享受技术乐在其中。而我还是那个话不多说的郭涛,仍在成为理想中的自己的路上摸索前行。

错过

昨天是公司新年假期的最后一天,照例乘坐上午9点27经永安的K636,照例上车后趴桌面打瞌睡。

睡意朦胧中,听到隔壁座俩女生聊到初中物理老师建议同学们毕业后要离开小岛。聊到每次放假回家都被海风吹黑,回学校一段时间才恢复……大概是家乡在平潭,福州师范类的应届生,正在三明一中实习,这次回福州办实习介绍函,顺道玩几天。

说到她小时候寄养在姨姨家里,每当受委屈就不懂事地跑回自家空屋门前哭。四年级以前学习成绩一直不好,老不及格,差点在二年级时留了级。直到后来爸爸从省外回到身边,才开始练字所以到现在写字难看,成绩也是在那之后转好。

More >

更远地平线

终于,在人生第25年里的头一天迎来厝边网的诞生。

http://Kainy.CN/LifeIs/CuoBianCountDown/

6月14,cuobian.com悄然上线,对外开放访问。也许还有很多bug要解决,还有很多细节待完善,以及经不起洪水猛兽冲击的漏洞。但起码网站迈出了成长路上的第一步,无论这一步多微小,也不知落脚处有鲜花还是狗屎。

移动设备浏览当前页