网络上的那些事儿
主要关注网络安全方面的技术、知识和趋势,旨在为网络安全行业的发展做出贡献。
这世上基本很难再找到负责 UGNAS 这么低能的产品经理了,从系统底层到套件处处透露着反人类的设定我真心推荐感兴趣想买的用户尽量降低自己的需求,像我这样做纯仓储+网络协议访问+Jellyfin+自动追番的人都踩了一堆坑但是真心说实话,如果只想买个本地的百度网盘,那还是很合适的,国产 APP 的手机套件不说别的,随便把几个老牌厂商体验吊起来打我打算围绕这台东西写两篇文章,一篇深入分析系统,另一篇通过我踩坑的经验教人部署一点东西,目前不知道投哪里比较好…
最近因为 Clash for Windows 作者被请喝茶的缘故,Clash 从内核到各平台客户端的仓库大部分都删库或者归档了,这也不能怪开发者太过风声鹤唳,毕竟还身在国内,写开源而已,犯不上和自己的人身安全作对。之前我一直都是使用 Clash 作为主要的科学上网工具,不过经此一役后我也在考虑是否应该放弃 Clash,于是我仔细梳理了一下目前对科学上网的需求,最终决定将 Clash 切换成 Quantumult X。Clash 的缺点其实我很早就觉得 Cla… 最近因为 Clash for Windows 作者被请喝茶的缘故,Clash 从内核到各平台客户端的仓库大部分都删库或者归档了,这也不能怪开发者太过风声鹤唳,毕竟还身在国内,写开源而已,犯不上和自己的人身安全作对。之前我一直都是使用 Clash 作为主要的科学上网工具,不过经此一役后我也在考虑是否应该放弃 Clash,于是我仔细梳理了一下目前对科学上网的需求,最终决定将 Clash 切换成 Quantumult X。 Clash 的缺点 其实我很早就觉得 Clash 在 macOS 上使用有一些不便: 如果想要修改订阅加上分流规则或者自定义的服务器,需要更改机场的配置文件,但是机场的订阅一般又会定时更新去覆盖掉;使用第三方的工具转化或者合并机场的订阅文件算是一个解决方案,但是机场一般出于隐私考虑都会禁止使用第三方工具转换订阅; 本质上 Clash 只是一个代理工具,无法确保在电脑上运行的各个程序的流量都由代理转发——很多软件的网络设置是不经由系统代理的,尤其是在终端的应用:pnpm,go get,curl,brew,ssh,这在软件开发的时候其实还挺烦人的,还需要单独为每一个应用设置代理,不同应用的配置方式还不一样。Clash X Pro 提供的增强模式算是一个解决方案,不过同样也已经下架了。 对于第一点,其实 Quantumult X 就做得很好,分流的规则以及机场的节点是分开配置的,而且无论你有多少不同机场的节点,你都可以通过新建一份分流规则来在所有节点之中切换,而且新建的分流规则并不会被机场本身定时更新的订阅所覆盖。
mysqlstat 是一个命令行工具,用于实时监控和分析 MySQL 服务器的性能指标和相关信息。 它可以帮助 DBA (数据库管理员)和开发人员定位和解决数据库性能问题。以下是 mysqlstat 工具的主要功能:实时监控:mysqlstat 可以实时监控 MySQL 服务器的 QPS (每秒查询数)、TPS (每秒事务数)以及网络带宽使用情况等指标。查询分析:它可以展示执行次数最频繁的前 N 条 SQL 语句,帮助定位查询效率低下的问题,以…
继今年2月份中国45亿条快递信息(435GB)泄露后 某知名论坛再次公开出售包括姓名、电话、地址、购买商品在内的总计4.6TB的某东/某宝百亿条个人信息数据 数据规模远超此前的学习通+快递信息。
Download Davinci Resolve Studio 18.6.1https://www.blackmagicdesign.com/support/download/cdd8d8c6ed1b4a8a818e6934a885e3fd/Mac%20OS%20…
SM-A7100 三星手机刷机固件包含了A7100安卓5.1.1、6.0、7.1.1三个版本每个版本分CHC国行版本和TGY港版实测6.0版本是最流畅的版本链接:https://pan.baidu.com/s/1yFxLPCch7lxrFvJGyHF46w?pwd=athi提取码:athi…
网上绝大多数薅 AWS 羊毛的教程都是在教大家如何申请创建一年免费的 VPS ,太 OUT 了!就问一个问题,一年到期了那咋办?其实,除了一年免费的 VPS 外,AWS 足足有 40 多个永久免费的服务,其中就包括的 AWS 最为出名的 Lambda ,以及日常开发常用的 DynamoDB ( NoSQL 数据库)、SNS (发布订阅)。而这么多的服务挨个读文档、装 SDK 太麻烦了,开发个 App 得写一堆的函数,体验实在是,emmmmm...这篇文章就给大家…
起因:设置alist自启动时有错误,照着网上自启动的vbs文件设置,却发现用vbs脚本启动可以进入alist的登陆界面但是会提示密码错误,而不用自启动脚本自己用cmd启动就正常,同时看了一下应该是5244的端口被自启动文件占了导致登上去的alist跟原账号不一同解决办法:将C盘user/用户名/data文件夹删除,将alist安装目录下的data文件夹复制到刚刚删除的data文件夹位置就解决了
最近遇到了一个小需求,我在PC上使用clash更新订阅时,可以通过cfw的parser和mixin等功能对订阅进行修改,添加自定义内容,但手机上的工具大部分都不支持复杂的预处理或覆盖功能,因此写了一个简单的拉取订阅进行预处理以及提供订阅更新地址的小脚本。脚本分为paser和server两部分,paser定时拉取原始订阅并进行预处理,server提供订阅更新链接并进行鉴权防止泄露。Parser部分:import axios from 'axios' imp…
介绍轻量级的内存 KV 存储, 由哈希图和最小堆实现, 没有特别为 GC 做优化. 拥有 O(1)的读取效率, O(logN)的写入效率. 缓存淘汰策略: 检测到过期或者容量溢出时, 堆顶元素会被清除一部分, 每次至多删除 16*1000(默认值, 后面省略)个 key, 30s 检查一次.简单压测go test -benchmem -run=^$ -bench . github.com/lxzan/memorycache/benchmark g… 介绍 轻量级的内存 KV 存储, 由哈希图和最小堆实现, 没有特别为 GC 做优化. 拥有 O(1)的读取效率, O(logN)的写入效率. 缓存淘汰策略: 检测到过期或者容量溢出时, 堆顶元素会被清除一部分, 每次至多删除 16*1000(默认值, 后面省略)个 key, 30s 检查一次. 简单压测
😊前言本程序脚本只用于新版微博图片批量下载,其实以前有类似脚本,由于作者长时间未更新,微博新版页面不能使用,所以本人重新编写新的脚本。🛠安装运行本脚本依托于TamperMonkey脚本管理器中运行,因此需要在浏览器安装此插件,此处不再详细赘述。访问greasyfork官网脚本列表中搜索"微博图片批量下载",点击安装脚本即可。提示:本人测试环境【Edge+…
感叹! rustdesk 真的好用,也开源了服务端这些东西,感谢社区的贡献!我自己在用的时候需要多端设备同步,但是 rustdesk 并没有开源出 api 服务相关代码。诚然,社区有大佬已经根据客户端写出了可用的 api 服务端代码。不过我自己本着挑战的目的自己撸了一个 api 服务端出来。地址:https://gi…
第一步 直接新建 fund.ts 编写import axios from 'axios' import type { FUNCAPP, FUNCCTX } from '../context' const ctx: FUNCCTX = _CTX const app: FUNCAPP = _APP // 基金代码 const code = '012414' //企业微信 api const qyApi = 'https://qyapi.weixin.qq.com/cgi-bin/…
漏洞成因没有对接口进行严格的权限管理,导致可以通过访问user_getUserInfoByUserName.action获取system用户的MD5加密后的密码hunter语法web.icon="4644f2d45601037b8423d45e13194c93"&&web.title="智慧园区综合管理平台"POCGET /admin/user_get… 漏洞成因 没有对接口进行严格的权限管理,导致可以通过访问user_getUserInfoByUserName.action获取system用户的MD5加密后的密码 hunter语法 web.icon="4644f2d45601037b8423d45e13194c93"&&web.title="智慧园区综合管理平台" POC
安装: go install github.com/jan-bar/interesting/findModVer@latest执行:findModVer d:myproject结果如下图所示:根据结果可以找到哪个依赖导致google.golang.org/grpc v1.45.0使用了这个版本,这样每次执行go mod tidy会自动修改该模块到v1.45.0版本。我看了下github.com…
光看这个配置就知道使用Windows10肯定是比较拉跨的了具体配置主板:技嘉H110M-S2处理器:奔腾G4400显卡:GTX-650(免驱)内存:DDR4-8GB*2硬盘:SATA固态 240GB*2方案:双系统,一块硬盘一个系统引导:OpenCoreEFI:第一次配置没什么经验,配置的乱七八糟,但是能成,bug很多后来就找到了现成的,直接采用了,附上毒盘链接共有两个,收集的资源… 光看这个配置就知道 使用Windows10肯定是比较拉跨的了 具体配置 主板:技嘉H110M-S2 处理器:奔腾G4400 显卡:GTX-650(免驱) 内存:DDR4-8GB*2 硬盘:SATA固态 240GB*2 方案:双系统,一块硬盘一个系统 引导:OpenCore EFI:第一次配置没什么经验,配置的乱七八糟,但是能成,bug很多 后来就找到了现成的,直接采用了,附上毒盘链接 共有两个,收集的资源 01.主板:技嘉H110M-S2 处理器:奔腾G4400 02.主板:华硕H110M-K 处理器:奔腾G4400 链接:https://pan.baidu.com/s/12LU62n2hZQdY1SB0vJCdUQ?pwd=0s4t 提取码:0s4t --来自百度网盘超级会员V6的分享 MacOS版本:10.15.5 Windows10版本:Ltsc2021 准备 首先需要一个可以能正常进入的Windows或mac系统/PE也行 准备一块16Gb/高于16GB的U盘 然后打开下面的网址跟着制作启动U盘就行 https://dortania.github.io/OpenCore-Install-Guide/installer-guide/windows-install.html 避坑:使用 OpenCore 提供的命令下载MacOs恢复镜像时总是不能成功下载 不知道是什么问题,后来使用了另一命令正常下载了 恢复镜像下载命令 链接:https://pan.baidu.com/s/1u719-xtMh05bAu2sjOFJDw?pwd=1xb0 提取码:1xb0 --来自百度网盘超级会员V6的分享 制作启动盘之后就是主板BIOS设置了 以下是参考的 国光的黑苹果 提供的两款技嘉主板设置 进行设置的 下列选项有一些 技嘉H110M-S2 这个板子里是没有选项的 直接忽略即可 技嘉GIGABYTEB250M-DS3H BIOS版本F9、日期:05/07/2018 ·【BIOS功能】-【安全选项】-【系统】 ·【BIOS功能】-【快速启动】-【关闭】 ·【BIOS功能】-【Windows8/10】-【其他操作系统】 ·【集成外设】-【预设启动的显示设备】-【PCle插槽1】 ·设置IGFX核显的话,你的显示器播独显,开机进系统都是黑屏 ·设置PCle插槽的话,你的核显被Ban进系统会发现双硬解异常 ·完美情况就是设置IGFX核显,显示器查主板,进系统后再插独显换回来 ·虽然上面的操作麻烦了一点,不在意双硬解的话,直接设置PCle插槽,显示器插独显就 行 ·【集成外设】-【SWGuard Extensions(SGx)】-【关闭】 ·【集成外设】-【Trusted Computing】-【SecurityDevice Support】-【Disable】 ·【集成外设】-【SuperIO配置】-【SerialPort】-【关闭】 ·【集成外设】-【USB程序】-【LegacyUSBSupport】-【启动】 ·【集成外设】-【USB程序】-【XHCIHand-off】-【启动】 ·【集成外设】-【SATAAndRST程序】-【SATAModeSelection】-【AHCI】 ·【芯片组】-【VT-d】-【关闭】 技嘉GIGABYTEB360MAORUSPRO BIOS版本F3、日期:05/17/2019 ·【BIOS功能】-【Windows8/10】-【其他操作系统】 ·【BIOS功能】-【CSM支持】-【关闭】 ·【BlOS功能】-【安全模式】-【SecureBootEnable】-【关闭】 ·【集成外设】-【预设启动的显示设备】-【IGFX】(这里用的核显) ·【集成外设】-【IntelPlatformTrustTechnology(PTT)】-【关闭】 ·【集成外设】-【SoftwareGuardExtension(SGX)】-【关闭】 ·【集成外设】-【TrustedComputing】-【SecurityDeviceSupport】-【Disable】 ·【集成外设】-【SuperlO配置】-【SerialPort】-【关闭】 ·【集成外设】-【USB程序】-【LegacyUSBSupport】-【开启】 ·【集成外设】-【集成外设】-【XHClHand-off】-【开启】 ·【集成外设】-【集成外设】-【USBMassStoregeDriverSupport】-【开启】 ·【集成外设】-【NetworkStackConfiguration】-【NetworkStack】-【关闭】 ·【集成外设】-【SATAAndRSTConfiguration】-【SATAModeSelection】-【AHCI】 ·【芯片组】-【VT-d】-【关闭】 ·【芯片组】-【InternalGraphics】-【启动】 ·【芯片组】-【DVMTPre-Allocated】-【64M】 ·【芯片组】-【DVMTTotalGfxMem】-【256M】 ·【芯片组】-【4G以上解码】-【启动】 ·【芯片组】-【WakeonLANEnable】-【关闭】 ·【电源管理】-【平台电力管理】-【关闭】 ·【电源管理】-【鼠标唤醒】-【双击】 设置好主板之后就可以进行安装了 安装时候比较慢,如果遇到卡在一个界面好几分钟无响应,别着急,给电脑一些反应时间
部分win10里IE浏览器版本被强制更新到IE11,关闭或卸载后安装旧版本会提示无法安装旧版,edge浏览器IE兼容模式虽可兼容大部分页面,但依然又许多公司企业内部系统需要用到IE浏览器。先简单说一下关闭 IE 【启动保护模式】 的作用。关闭以后可以让IE浏览器支持Flash文件上传按钮正常弹出选择文件对话框功能,IE11以下版本的浏览器,在Internet设置页面中的安全页选项卡可以直接取消勾选【启用保护模式】。如果IE11浏览器相关页面没有此选项,导… 部分win10里IE浏览器版本被强制更新到IE11,关闭或卸载后安装旧版本会提示无法安装旧版,edge浏览器IE兼容模式虽可兼容大部分页面,但依然又许多公司企业内部系统需要用到IE浏览器。 先简单说一下关闭 IE 【启动保护模式】 的作用。 关闭以后可以让IE浏览器支持Flash文件上传按钮正常弹出选择文件对话框功能,IE11以下版本的浏览器,在Internet设置页面中的安全页选项卡可以直接取消勾选【启用保护模式】。 如果IE11浏览器相关页面没有此选项,导致安装Flash后虽然上传按钮可以显示,但无法弹出选择文件对话框。 部分IE11打开后自动跳转edge,网上教程照着操作也无效,需要在控制面板里打开-->网络和Internet-->Internet选项
漏洞介绍Casdoor系统static存在任意文件读取漏洞漏洞描述Casdoor是一个基于OAuth 2.0、OIDC、SAML 和 CAS 的,UI-first的身份和访问管理(IAM)/单点登录(SSO)平台。使用 Go 和react开发,前后端分离,内置第三方应用登录服务。资产测绘QueryFofa:title:”Casdoor” Hunter:web.title=”Casdoor”… Casdoor系统static存在任意文件读取漏洞 【漏洞描述】 Casdoor是一个基于OAuth 2.0、OIDC、SAML 和 CAS 的,UI-first的身份和访问管理(IAM)/单点登录(SSO)平台。使用 Go 和react开发,前后端分离,内置第三方应用登录服务。
一、前言今天给师傅们分享一个开源系统批量挖掘CNVD证书的实战内容,由于开源系统的源代码开放,所以相对于闭源系统来说更安全,对于安全人员来说,开放源代码更有利于我们去进行安全测试,也就更容易去找到系统中存在的一些安全问题。二、是否符合证书获取条件之前和大家简单介绍过CNVD获取证书的一些条件,今天我们分享的CMS叫做dedecms也叫织梦CMS,相信有些师傅对于该CMS并不陌生,首先我们先去了解一下该CMS。从官方网站上我们可以看到… 之前和大家简单介绍过CNVD获取证书的一些条件,今天我们分享的CMS叫做dedecms也叫织梦CMS,相信有些师傅对于该CMS并不陌生,首先我们先去了解一下该CMS。 从官方网站上我们可以看到该公司名称,通过公司名称我们去企查查搜索看看注册资金是否符合CNVD获取证书的条件。
漏洞介绍亿赛通电子文档安全管理系统是国内最早基于文件过滤驱动技术的文档加解密产品之一,保护范围涵盖终端电脑(Windows、Mac、Linux系统平台)、智能终端(Android、IOS)及各类应用系统(OA、知识管理、文档管理、项目管理、PDM等)。该漏洞存在与/update接口下,flag对输入的数据没有进行严格的过滤而导致SQL注入,攻击者可以利用该漏洞获取数据库敏感信息。影响产品亿赛通电子文档安全管理系统语法特征… 漏洞介绍 亿赛通电子文档安全管理系统是国内最早基于文件过滤驱动技术的文档加解密产品之一,保护范围涵盖终端电脑(Windows、Mac、Linux系统平台)、智能终端(Android、IOS)及各类应用系统(OA、知识管理、文档管理、项目管理、PDM等)。该漏洞存在与/update接口下,flag对输入的数据没有进行严格的过滤而导致SQL注入,攻击者可以利用该漏洞获取数据库敏感信息。 影响产品
使用 PyGWalker 和 Streamlit 快速搭建数据可视化应用在本文中,我们将深入介绍如何使用 PyGWalker 和 streamlit 来搭建一个交互式的数据可视化分析应用。什么是 PyGWalker ?PyGWalker 是一个将你的数据转化为一个交互式可视化分析应用(类似 tableau 或 powerBI )的 python 库。 例如在 Juypter Notebook 中,数据科学家经常使用 PyGWalker 将数据转化成一… 使用 PyGWalker 和 Streamlit 快速搭建数据可视化应用 在本文中,我们将深入介绍如何使用 PyGWalker 和 streamlit 来搭建一个交互式的数据可视化分析应用。 什么是 PyGWalker ? PyGWalker 是一个将你的数据转化为一个交互式可视化分析应用(类似 tableau 或 powerBI )的 python 库。 例如在 Juypter Notebook 中,数据科学家经常使用 PyGWalker 将数据转化成一个嵌入在 juypter 里的交互模块,他们可以使用拖拉拽或自然语言的方式进行可视化探索,而不再需要书写任何代码或切换到其他工具中去。
说明:本教程由本人基于实际操作,并成功申请到软件著作权,进行整理发布。最好按照顺序准备,保证申请操作不阻塞。1、准备源代码文档代码文档注意事项:不要有空白行不要有注释行和注释块,代码结尾处不影响,但是最好也删掉(主要是注释和空白行不能算源代码行数)建议粘帖后手动整理一下建议写满 60 页(前 30 页,后 30 页),理论上代码量不足… 上架 App 到应用市场需要提供软著; 抖店开放平台申请应用需要提供软著; 公司申请高新技术企业需要软著; ... 学会自己申请软著不仅可以省了三方代申请的资金费用,还可以当做一个技能帮别人申请软著收费(😂),当然最主要的还是为了解决开头说到的那些门槛。 鸽了好久了,趁着这次新申请软著,边操作边截图,手把手教你自己申请软著。 说明:本教程由本人基于实际操作,并成功申请到软件著作权,进行整理发布。 最好按照顺序准备,保证申请操作不阻塞。 1 、准备源代码文档(已写好文档模板) 2 、准备使用说明书文档(已写好文档模板) 3 、注册账号,填写申请内容(图文教程)