qq空间某被利用的xss分析

今天听说有些人在点击了几个花千骨的广告视频后,自己的qq空间里面就被莫名其妙的分享了一些广告,还自动添加了好友。

今天遇到的Python多线程、多进程中的几个坑

今天在写oj的判题端的时候犯了一个低级错误,就是为了加快判题速度,我就采用了多线程多组用例同时运行的方法,但是后来不经意的发现,明明跑的很快的程序到了我这实际运行时间就变成了好几倍,而cpu时间并没有太大的变化。

都要7月份了~~

说明距离考研不到6个月了~~

抓到一只苍蝇 writeup

题目在 http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=57

flash被跨域调用导致的安全风险

flash也是可以和js一样动态的请求和加载,类似这样a.com上的a.swfvar myLoader:Loader = new Loader(); var url:URLRequest = new URL...

六级考完,心情不错,欧耶~

六级考完了,比上次完全蒙的应该要好些。基本上都能看懂。听力不行,还好考研没听力,这个先放下。

web格式化注入漏洞

第一部分:Duo Security Web SDK的一个格式化注入漏洞

xml实体注入xxe

xxe就是xml实体注入,先稍微就说一下XML entity:

使用修饰符来简化代码

常见的使用修饰符的场景是每个函数都有一段相同的逻辑,提取出来作为修饰符,那个比较常见,下面的例子是另外一个比较常见的使用修饰符的场景,可以提高代码可维护性。

To be lazy

平时人们做事的时候谁说lazy也是不好的,但是在程序设计的时候,lazy是一种有效的提供性能的方法,大致的思想就是需要的时候再计算,尽量的缓存计算结果。

富文本安全

昨天阿里安全实习生面试问到了这个,感觉回答的不是很好,最后挂了,今天总结一下。

html和js编码解码导致的xss问题

在js中对特殊字符进行转义我们可以使用下面的函数, function _html_encode(str) { if (!str.length) { return ""; } v...

nginx对自定义http头的处理

有一个app调用后端api的时候,会在http头里面放置AUTH_TOKEN字段,用来用户鉴权,但是后端一直返回用户没有登录,但是本地使用django自带的runserver是可以的。后端的代码是这样的。```pythonclass TokenA...

geohash查找附近的人

微信、默默等查找附近的人最简单的方法就是遍历一遍,然后使用经纬度计算距离。计算公式是http://en.wikipedia.org/wiki/Haversine_formula$$havarsin(\frac{d}{R}) = haversin(...

Hey Jude

Hey Jude, don’t make it bad.