CRLF攻击的一篇科普:新浪某站CRLF Injection导致的安全问题(转) 转:https://www.leavesongs.com/PENETRATION/Sina-CRLF-Injection.html 新浪某站CRLF Injection导致的安全问题 PHITHON 2014 六月 30 06:45   阅读:3714    网络安全    HRS, CRLF, xss CRLF Injection很少遇见,这次被我逮住了.我看zone中(http://zone.wooyun.or…

转:https://www.leavesongs.com/PENETRATION/Sina-CRLF-Injection.html 新浪某站CRLF Injection导致的安全问题 PHITHON 2014 六月 30 06:45   阅读:3714    网络安全    HRS, CRLF, xss CRLF Injection很少遇见,这次被我逮住了.我看zone中(http://zone.wooyun.org/content/13323)还有一些同学对于这个漏洞不甚了解,甚至分不清它与C…

刚经历了新浪笔试,写篇博客记录一下下.方便以后查看. 一.基础题 1.栈和队列的异同点. 2.算法性能的4个评价标准. 排序算法中最稳定的算法. 那几个算法的空间复杂度是O(1)的. 3.线性表,平衡二叉树.哈希表的优缺点. 4.200支试管,一支有毒. 用试纸介意检验,30分钟才干够出结果. 有充足器皿和试纸供选用.问怎样用尽量少的试纸在最短的时间里測出哪支有毒? 二.算法题 1.用a[n]来构造b[n],满足 b[i] = (a[0]*a[1]*........a[i]*.....a[n-1…

CRLF Injection很少遇见,这次被我逮住了.我看zone中(http://zone.wooyun.org/content/13323)还有一些同学对于这个漏洞不甚了解,甚至分不清它与CSRF,我详细说一下吧. CRLF是”回车 + 换行”(\r\n)的简称.在HTTP协议中,HTTP Header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来.所以,一旦我们能够控制HTTP 消息头中的字符,注入一些恶意的换行,这样我们就能注入一些…

如果直接使用selenium访问淘宝.新浪和知乎这些网址.一般会识别出这是自动化测试工具,会有反制措施.当开启开发者模式后,就可以绕过他们的检测啦.(不行的,哭笑) 如果网站只是对windows.navigator.webdriver进行检测.绕过网站对webdriver的特征识别1-使用splash,navigator.webdriver只适用使用webdriver的渲染工具,对splash这种使用webkit内核开发的渲染工具是无效的.2-利用selenium或者其他渲染工具执行js使nav…

目录: 一. 新浪的布局特点 二. 内容细节的特点 三. 其中相关的一些基础技术点 1. 常见布局方法 2. 布局要点 3. Debugger误区 4.列表 5.字体颜色 6.CSS选择符 7.CSS图片 10. CSS半透明 文章背景:这是一次内部交流会的PPT,通过文字的方式记录下来,分享给更多的同学,同时也由于个人能力水平还有很大的成长空间,也想借此机会再深化学习一下,所以这事利人利已,千秋万代.由于个人知识范围有限,难免有遗漏或不当之处,欢迎拍砖.此次交流会做了一些新的创新或尝试,我们尝…

目前新浪云上的应用支持通过Git和SVN来部署代码. Git仓库地址 https://git.sinacloud.com/YOUR_APP_NAME SVN仓库地址 https://svn.sinacloud.com/YOUR_APP_NAME 用户名 新浪云安全邮箱 密码 新浪云安全密码 注解 用户名和密码为安全邮箱和安全密码,不是微博账号和微博密码!如已启用微盾动态密码,则密码应该是"安全密码"+"微盾动态密码" 使用Git客户端 注解 Git代码部署只支持新创…

add by zhj:先收藏了 摘要:评论系统是所有门户网站的核心标准服务组件之一.本文作者曾负责新浪网评论系统多年,这套系统不仅服务于门户新闻业务,还包括调查.投票等产品,经历了从单机到多机再到集群,从简单到复杂再回归简单的过程. 评论系统,或者称为跟帖.留言板,是所有门户网站的核心标准服务组件之一.与论坛.博客等其他互联网UGC系统相比,评论系统虽然从产品功能角度衡量相对简单,但因为需要能够在突发热点新闻事件时,在没有任何预警和准备的前提下支撑住短短几分钟内上百倍甚至更高的访问量暴涨,而评论…

已经有两年多没登陆csdn账号了,中间做了些旁的事,可是现在却还是回归程序,但改做前端了,虽然很多东西都已忘得差不多了,但还是应该摆正心态,慢慢来,在前端漫游,做一只快乐双鱼. 路是一步一步走出来的,知识是一点一滴积累的,记录是笔财富,来吧,一起学着总结做笔记. 这几天在写后台文章的一些页面,为了能得到更好的交互性,需要做一些效果,js无疑使不二之选,但由于浏览器的兼容性一直差强人意,所以选用jquery框架,通过css样式.dom节点以及自身所带函数就可以实现比较好的用户体验,此案例有三个功能…

介绍一下怎么在sae上做个网站 前言 曾经,sae是收费的,计时收费,还挺贵的呢.所以就试玩了一下,没敢继续鼓捣.后来,云计算越来越火了,新浪也不差钱嘛,于是直接给新注册的开发者送好多豆子,于是,免费时代到来了. 建个网站 打开http://sinaapp.com/,注册个开发者吧,微博登陆就行,进去最好弄个实名认证.在人家地盘弄网站,人家当然要知道你具体是谁,否则弄些比较有那个啥的代码给浪云抹黑,不就不好了嘛.(一打开网页会在上面有提示,你可以找那些网站,举报一下,奖励还挺丰富呢.) 进入sa…

原文地址:Word直接发布新浪博客(以Word 2013为例)作者:paulke2011 注意:这篇博客直接由Word 2013发出!这虽然也算是一个教程,但更多的是一个试验品. 老早就知道Word有发布博客的功能,但是一直没有用过.倒也不是没有尝试,而是都失败了.昨天写那一篇关于HCM术语的博客,折腾老半天的格式,发布到新浪博客的时候又因为种种限制导致格式丢失,变成了纯文本.于是又激起了我使用Word直接发布博客的欲望.于是到网上去搜了搜看看能不能碰巧找到解决办法. 甭说,还真有.James…

原文地址:Word直接发布新浪博客(以Word 2013为例)作者:paulke2011 注意:这篇博客直接由Word 2013发出!这虽然也算是一个教程,但更多的是一个试验品. 老早就知道Word有发布博客的功能,但是一直没有用过.倒也不是没有尝试,而是都失败了.昨天写那一篇关于HCM术语的博客,折腾老半天的格式,发布到新浪博客的时候又因为种种限制导致格式丢失,变成了纯文本.于是又激起了我使用Word直接发布博客的欲望.于是到网上去搜了搜看看能不能碰巧找到解决办法. 甭说,还真有.James…

经历了2018年末的阵痛,大家都积攒着一股暗劲蠢蠢欲动. 3月初即将迎来2019年互联网行业换工作的大潮,技术工程师的升级换位对于一家互联网公司来说无疑是命脉般的存在——技术强则公司强! 如何做一个抢手的技术工程师呢? 按部就班996.完成项目.清理Bug.储备技能,这些就够了吗? 我邀请到新浪资深架构师张雷,相信他数十年经验也许能给正在找工作的你一些启发. 嘉宾介绍 个人介绍 张雷,2013年加入新浪微博,作为核心技术成员参与了微博服务化.混合云等多个重点项目,是Weibo开源RPC框架Mot…

最近jsonp很火,实话说已经是被玩烂了的,只是一直没有受到大家的重视.正好在上个月,我挖过一个由于jsonp造成的新浪某社区CSRF,当时是为了准备一篇文章,之后这篇文章也会拿出来分享. 因为新浪已经修复了问题,所以我先把这个漏洞分享出来.以下是当时写的部分文章. 0x01 引子 听说新浪五月送衣服,我其实也没太多空去挖洞.本来想交一个两年前挖的CSRF刷粉,结果拿出来一看那洞早没了,目标站都换了. 详细说,就是我那个洞被302跳转到新浪股吧(http://guba.sina.com.cn/)…

本地项目源文件必须放在应用名目录下面的数字目录里面.如:D:\SVN\xtmp1\1 我们在前面讲述在新浪SAE中如何建站,今天我们来详解如何上传文件.新浪SAE中是不允许用FTP来上传的.我们只能用它提供的专用工具,我们以SVN为例来讲述. 首先,我们要下载一个SVN工具. 下载安装 TortoiseSVN下载:http://dl.pconline.com.cn/download/53122.html 安装过程就不多说了. 软件装好后,我们要做的就是: 一.创建本地工作目录(文件夹) 在本地磁…

1. 加入/改动wp-config.php文件 <?php /** * WordPress 基础配置文件. * * 本文件包括下面配置选项: MySQL 设置.数据库表名前缀. * 密匙.WordPress 语言设定以及 ABSPATH. 如需很多其它信息,请訪问 * {@link http://codex.wordpress.org/Editing_wp-config.php 编辑 * wp-config.php} Codex 页面.MySQL 设置详细信息请咨询您的空间提供商. * * 这个…

最新新浪t.cn短网址和腾讯url.cn短网址生成api接口,快速生成t.cn及url.cn超短链接,接口都可以正常调用,觉得不错可以收藏一下. 新浪短网址api接口:1. http://yldwz.cn/api-tcn/html?link=http://www.baidu.com2. http://www.t-cn.top/tapi-url.cn/html?link=http://www.baidu.com 腾讯短网址api接口:1.http://yldwz.cn/api-url/html?l…

  本人5年开发经验.18年年底开始跑路找工作,在互联网寒冬下成功拿到阿里巴巴.今日头条.新浪等公司offer,岗位是Java后端开发,因为发展原因最终选择去了新浪,入职一年时间了,也成为了面试官,之前面试了很多家公司,感觉大部分公司考察的点都差不多,趁空闲时间,将自己的心得记下来,希望能给正在找或者准备找工作的朋友提供一点帮助.   下面提的问题可以看下你自己是否能回答出来,是否做好准备了,当然面试题准备是一方面,你本身的技能掌握是一方面,本身技能不过硬也会被刷下来,下面的图是进阶体系图可以参…

新浪短网址api是新浪官方对外公开的长链接转为短链接的API,可以将冗长的链接地址缩短生成 t.cn/xxx 格式的短链接. API有两种格式 http://lnurl.cn/sina/short-api?url_long=http://www.baidu.com http://kndwz.com/api-tcn.php?link=http://www.baidu.com 请求参数 申请调用接口时分配的接口授权key,调用接口时代表用户的唯一身份.url_long和link后面的url是需要转换…

短网址的实现原理就是有一个数据表会配置文件将短网址和实际网址进行对应,当请求某个短网址时,程序跳转到对应的实际网址上去,从而实现网址的访问.目前国内最稳定最好用的是新浪T.cn短链接. 之前新浪提供了长链接转为短链接的API,可以把长链接转为t.cn/xxx这种格式的短链接.但是在前段时间新浪宣布关闭了之前几个流传在外的T.cn短链接的API接口.导致很多朋友都没有办法在使用新浪的T.cn短链! 今天小编就给大家分享一个仍然可以使用的新浪T.cn短链接的API接口.下面我来把接口以及调用文档跟大…

上次写了一个爬世纪佳缘的爬虫之后,今天再接再厉又写了一个新浪博客的爬虫.写完之后,我想了一会儿,要不要在博客园里面写个帖子记录一下,因为我觉得这份代码的含金量确实太低,有点炒冷饭的嫌疑,就是把上次的代码精简了一下,用在另外一个网站而已,而且爬别人的博客总有一种做贼心虚的感觉,怕被各位园友认为是偷窥狂魔.但是这份代码总归是我花了精力去写的,我也不想就此让它深藏在硬盘之中(电脑实在太老了,可能过两年硬盘坏了,这份代码就消失了),还是贴出来权当作抛砖引玉. 说起要爬新浪博客,总归是有一个原因吧.我的原…

原文连接地址:http://www.9958.pw/post/city_ip function getAddressFromIp($ip){ $urlTaobao = 'http://ip.taobao.com/service/getIpInfo.php?ip='.$ip; $urlSina = 'http://int.dpool.sina.com.cn/iplookup/iplookup.php?format=json&ip='.$ip; $json = file_get_contents($…

在发布版本的时候,大多数软件会在第一次使用新版本时候弹出视图用几张图片给用户做一个新版本特性介绍,最简单如下图新浪的版本特性介绍 由于图片是全屏展示且是左右滑动,大多数情况开发者会选择使用scroll或者collection等视图来搭建,它们的共同点是需要设置数据源和代理.对于新特性展示而言,往往只需要用展示三五张图片,而且因为业务逻辑不同,还需要通过方法监听用户划到了哪一张图片来判断是否添加跳过或者进入app等按钮.这一业务处理对于app本身没有太大价值而且经常被用户自主跳过.浪费大量代码在上…

1.python程序部署到sae上需要做的改动 在线上需要转换成wsgi的形式运行python程序. sae中运行python程序需要指定一个函数为入口函数. application = sae.create_wsgi_app(main) main函数是你定义的入口函数,在这里面你可以调用你定义的其它函数. sae.create_wsgi_app(main) 创建main为入口函数,将入口地址返回给application. 运行这个程序的时候sae会直接找到application,运行这个pyt…

今天听一个同事说新浪使用的是Redis,于是自己将研究的过程整理出来以备后用. 我们都知道微博这玩意儿现在很火,新浪作为国内最早使用redis,并且是国内最大的redis使用者,当然备受人们关注.新浪微博中一项很重要数据,计数类业务就用到了Redis.OK,废话不多说,直接切入主题.  Redis是什么? 解析:一种内存型数据库,虽然其拥有了持久化机制. Redis配置过程 首先声明,今天我们探讨的配置是在windows系统下 步骤一:下载redis文件包 下载的windows版本是redis-…

IOS开发和Web开发一样,网络请求方式包括Get和Post方式.Get和Post两者有和特点和区别,在本篇博客中不做过多的论述,本篇的重点在于如何GET数据和POST数据.下面还会提到如何在我们的项目中使用CocoaPods, CocoaPods的安装和使用教程请参考链接http://code4app.com/article/cocoapods-install-usage.上面详细的介绍了CocoaPods的安装过程和如何通过CocoaPods引入第三方类库.在本篇博客中提到CocoaPods…

我们经常收到类似于这样的短信(如下图),发现其中的链接并不是常规的网址链接,而是个短小精悍的短链接,产品中经常需要这样的需求,如果在给用户下发的短信中是一个很长的连接,用户体验肯定很差,因此我们需要实现长链接转换成短链接: 新浪提供了一个长短连接转换的API,我们可以使用它:具体实现:(新浪官方接口API:http://open.weibo.com/wiki/微博API) <?php /Sina App_Key define('SINA_APPKEY', '31641035'); functio…

新浪云sae是一个免费的web服务器,SAE的Web服务器采用分布式部署的方式,开发者将代码部署到SAE前端机后,会通过同步的方式,将代码部署到SAE所有的Web服务器.相当于在每一台Web服务器上都有备份, 如此,即使某一台服务器宕机,用户请求也会被转发到其他的服务器上,不会影响应用的正常使用,大大提高了应用的稳定性. 另外,值得一提的是,除了分布式部署,SAE还提供完整的分布式Web服务的解决方案,其中包括分布式数据库.分布式文件系统,更包括分布式定时器系统.网页抓取服务.图像处理服务等.…

在新浪云上使用smarty时会发现又这样的错误信息: “SAE_Fatal_error: Uncaught exception 'SmartyException' with message 'unable to write file ./web/templates_c/wrt4e95555280ef1' ”. 这是因为不能使用官方下载的smarty文件包,要下载smarty for sae的专门版本,地址:http://code.google.com/p/smarty4sae/downloads…

请使用支持CSS3的浏览器查看效果:http://keleyi.com/a/bjad/6lu3dgj8.htm 效果图: 完整代码如下: <html> <head> <title>CSS3新浪LOGO-柯乐义</title> <style> .sina{ margin:60px 0 0 22px;} .head{ position:relative; width:195px; height:220px;} .head_bg{ position:a…