Web漏洞分析之——顺瓜摸藤 (blog.nsfocus.net)

【简介】

在分析一些漏洞时,能从相关的漏洞预警和描述中获取的情报往往很少。

很多时候,只能通过漏洞描述或者补丁中找到漏洞触发点,然而如何利用,如何找到从入口贯通到漏洞触发点的利用链,这时候就需要我们顺瓜摸藤了。

有时候,顺着一个瓜(漏洞触发点),还能摸到很多条藤(利用链)。

点击查看全文 >>

@技术头条 2019-04-09 00:28分享 / 原作者微博:@绿盟科技 / 0个评论
赞过的人: 技术头条
要不要再学学下面的文章?
简单分析 App 进程 Crash 机制 (mp.weixin.qq.com)
工作中遇到后台Service挂掉后(弹出停止运行),很久没有重启,分析log发现进程抛出FATAL EXCEPTION后并没有被杀,很久后才被杀掉重启,迷惑,遂看看具体的App挂掉流程是什么样的。
by @code小生 2020-07-21 23:33 分享 查看详情
WEB前端安全自查和加固 (insights.thoughtworks.cn)
前端主要需要考虑的安全问题有npm生态下依赖的安全性、XSS跨站脚本攻击、XSS跨站脚本攻击。这个世界上没有绝对的安全,即使CSP这类极其严格的策略都有可能被绕过,前端开发中安全也需要考虑成本,应该选用性价比高的安全策略。安全也不是独立的,应该和服务器、甚至操作系统层面联合考虑。
by @ThoughtWorks 2020-07-16 17:30 分享 查看详情
三分钟了解 Python3 的异步 Web 框架 FastAPI (zhuanlan.zhihu.com)
在 FastAPI 官方文档中,可以看到官方对 FastAPI 的定位:

- 快速:非常高的性能,向 NodeJS 和 go 看齐(感谢 Starlette 和 Pydantic)
- 快速编码:将功能开发速度提高约 200% 至 300%。
- 错误更少:减少约 40% 的人为错误(开发人员)。* (FastAPI 内置很多 Python 高版本的语法,比如类型注释,typing 库等等,因此被要求的 Python 版本为 3.6+)
- 简易:旨在易于使用和学习。减少阅读文档
by @Jerry轩5211 2020-07-10 11:48 分享 查看详情
快应用 IDE 定制 Devtools 元素面板系列一:背景需求及方案分析 (quickapp.vivo.com.cn)
快应用开发工具(IDE)支持 web 预览功能。此次定制 web 预览调试器(devtools)的 elements 面板,以支持审查真实的快应用元素。 本篇文章介绍背景需求及方案分析。
by @杨琼璞 2020-06-16 17:52 分享 查看详情
记一次 Python Web 接口优化 (mp.weixin.qq.com)
投石问路

既然是网站的响应问题,可以通过 Chrome 这个强大的工具帮助我们快速找到优化方向。
通过 Chrome 的 Network 除了可以看到接口请求耗时之外,还能看到一个时间的分配情况,选择一个配置没有那么多的项目,简单请求看看:
by @code小生 2020-06-08 23:51 分享 查看详情
JVM源码分析之Attach机制实现完全解读 (club.perfma.com)
在讲这个之前,我们先来点大家都知道的东西,当我们感觉线程一直卡在某个地方,想知道卡在哪里,首先想到的是进行线程dump,而常用的命令是jstack ,我们就可以看到如下线程栈了
by @PerfMa社区 2020-05-26 11:00 分享 查看详情
种草Cypress和TestCafe,QA同学一定想了解的Web UI自动化测试工具 (insights.thoughtworks.cn)
Cypress和TestCafe这两个工具相比于Selenium都更加的轻量级,且在不同的方面有了改进,比如安装更简单,增加了内置等待机制,调试更加方便等。
by @ThoughtWorks 2020-05-15 10:19 分享 查看详情
进程物理内存远大于Xmx的问题分析 (club.perfma.com)
最近经常被问到一个问题,”为什么我们系统进程占用的物理内存(Res/Rss)会远远大于设置的Xmx值”,比如Xmx设置1.7G,但是top看到的Res的值却达到了3.0G,随着进程的运行,Res的值还在递增,直到达到某个值,被OS当做bad process直接被kill掉了。
by @PerfMa社区 2020-05-12 14:47 分享 查看详情
都知道避免ANR,但该如何分析,定位,解决? (mp.weixin.qq.com)
application not responding 程序无响应。程序在规定的时间内没有响应。
超时时间的计数一般是从按键分发给app开始。超时的原因一般有两种:

1.当前的事件没有机会得到处理(即UI线程正在处理前一个事件,没有及时的完成或者looper被某种原因阻塞住了);
2.当前的事件正在处理,但没有及时完成。
by @DataFunBoy 2020-04-28 08:55 分享 查看详情
JVM源码分析之JDK8下的僵尸(无法回收)类加载器 (club.perfma.com)
现象是有一些类加载器是作为key放到WeakHashMap里的,但是经历过多次full gc之后,依然坚挺地存在内存里,但是从代码上来说这些类加载器是应该被回收的,因为没有任何强引用可以到达这些类加载器了
by @PerfMa社区 2020-04-21 16:25 分享 查看详情