找到
43
篇与
xioy
相关的结果
- 第 4 页
-
小程序Appid、AppSecret泄露漏洞总结 漏洞描述 AppSecret是小程序的唯一凭证密钥,也是获取小程序全局唯一后台接口调用凭证的重要参数,需要开发者妥善保管至后台服务器中,并严格保密,不向任何第三方等透露。小程序若存在AppSecret密钥泄露漏洞的情况,会造成身份信息仿冒、敏感数据外泄等严重后果,开发者应及时发现该漏洞并快速修复相应问题。 漏洞环境搭建 如果没有可用的Appid、AppSecret来复现漏洞环境,可以自己注册一个公众号或微信小程序。我有公众号,那么接下来我会用公众号来演示操作。 首先登录公众号,然后依次点击:设置与开发-基本配置-开启、重置(第一次显示的都是开启,我这个是已经开启后效果,如果忘记AppSecret可以重置) 获取到Appid、AppSecret后还需要设置IP白名单。由于是通过开发者ID及密码调用获取access_token接口的,所以需要把访问来源IP添加到白名单,这样才可以正常使用功能(图片中的ip请替换成你的公网ip)。 相关文档手册 微信官方手册公众号 https://developers.weixin.qq.com/doc/offiaccount/Getting_Started/Overview.html公共错误码 https://developers.weixin.qq.com/doc/oplatform/Return_codes/Return_code_descriptions_new.html网页调试工具 https://mp.weixin.qq.com/debug/cgi-bin/apiinfo?t=index&type=%E5%9F%BA%E7%A1%80%E6%94%AF%E6%8C%81&form=%E8%8E%B7%E5%8F%96access_token%E6%8E%A5%E5%8F%A3%20/token漏洞复现 获取Access token 手册说明 https://developers.weixin.qq.com/doc/offiaccount/Basic_Information/Get_access_token.html获取方式 https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET举例子,假如你的Appid是123,AppSecret是456那么获取Access token的链接就为: https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=123&secret=456 调用功能 通过查看微信官方手册公众号就可以知道可以通过接口使用哪些功能 我们用获取用户列表接口举列子 可以直接使用手册中的地址补充获取到的Access token请求即可,我这里使用网页调试工具来测试 由于我的公众号没有认证所以没有获得相关的权限无法通过接口调用功能。 从网上找了成功的案例图片 获取小程序用户评论 获取小程序用户访问数据 冒用小程序身份给用户发送消息
-
2024国庆小记 吐槽 护网从以前的一年一次变成现在一个季度一次。往往不但要同时参加好几个地区的护网,而且时间上经常会重叠,导致周末和假期的时间会被占用根本没有自己的娱乐时间。 好不容易等到一个小长假打算回家瞅瞅,好好放松一下。突然就收到护网的通知,得,又回不去了,加班吧…… 不过这次的国庆假期竟然没有任务安排,爽啦。 高铁的车票实在是太难买啦,提前买的车票只候补到了6号的返程车票。1号的回家车票实在是抢不过别人,只能转换战场了——大巴。 坐大巴真的太痛苦了。车上有一些上了年纪的乘客听力有点下降看视频声音大点我能理解,但是你把音量拉到最大那就真的不礼貌了。而且还是好多人同样把声音拉大最大,这谁能受得了?我带着降噪耳机都阻挡不了的那种。 大巴颠了5个小时终于是到了目的地,一切的不开兴烟消云散。最后20分钟就能到家啦!接下来的假期4个字概括完:吃、喝、玩、乐。 吃喝 这玩意和李子园一个味,就是包装做的好看 这个么,和其他奶茶都差不多 在后街逛的时候发现一个小吃店,他的鸡蛋灌饼很好吃。我敢肯定我的那份老板一定觉得格外特殊,因为我只要饼加上酱其他的都不要 晚霞不错啊 玩乐 工作的时候绝大多数的情况都是点外卖的,感觉周边外卖都吃好几轮了。这次回来终于吃上妈妈做的饭菜了,啊!妈妈的味道! 周边有个景区火了,吃完早饭就出发到了景区停车位还有好多。 远处的度假酒店还是很好看的 景区的湖那肯定不会缺少游船项目,不过还是自己开的船更好玩 附上一张船长照片 喜闻乐见的合照,我爸一拍照手指就僵硬,不知道摆啥姿势哈哈哈哈哈 我们的厨房非常干净绝对不会把菜扔在地上
-
博客系统推荐 明确内容类型 首先你需要确定你博客内容的类型。是想要纯文档类型,还是带有社交性质的博客。 系统类型选择 建站最怕的就是被攻击,万一被攻击博客的数据全没了该怎么办? 目前博客系统可以分类两大类 纯静态式 带后台式 纯静态的博客无所畏惧,没有任何交互黑客怎么攻击?拿你一丁点办法都没有。 后台交互式则恰恰相反。程序本身就是由脚本语言构成,假设被恶意上传木马那你的服务器岌岌可危。另外如果你使用通用型CMS搭建,那你就需要时刻关注使用的CMS系统有没有漏洞被爆出。 综上所述个人建议优先使用纯静态式系统来搭建自己的博客系统。 纯静态式系统推荐 Hexo 封面: 简介: Hexo是一个快速、简洁且高效的博客框架。Hexo使用Markdown(或其他渲染引擎)解析文章,在几秒内,即可利用靓丽的主题生成静态网页。即把用户的markdown文件,按照指定的主题解析成静态网页。 官网地址: https://hexo.io/系统特色: Node.js所带来的超快生成速度,上百个页面在几秒内完成渲染。 Hexo支持GitHub Flavored Markdown的所有功能,甚至可以整合Octopress的大多数插件。 只需一条指令即可部署到GitHub Pages, Heroku或其他平台。 强大的API带来无限的可能。支持数种模板引擎。可以与现有的NPM包轻松地集成。 409个主题,在众多美观、强大、可定制的主题中选择;使用任何兼容的模板引擎创建自己的主题。 Hugo 封面: 简介: Hugo是一个通用的网站框架。从技术角度来说,Hugo是一个静态网站生成器。与每个访问者请求动态构建页面的系统不同,Hugo在创建或更新内容时构建页面。由于网站被查看的频率远远多于编辑的频率,Hugo旨在为您的网站最终用户提供最佳的查看体验,并为网站作者提供理想的编写体验。 官网地址: https://gohugo.io/系统特色: 构建时间极快,每个页面不到1毫秒。 完全跨平台,在macOS、Linux、Windows等操作系统上安装简单。 随开发实时渲染修改,支持LiveReload。 强大的主题化能力。 可在任意主机托管您的网站。 Vuepress 封面: 简介: 这个系统我们不推荐原生的,推荐他的主题:VuePress Theme Hope。值得一提的是本博客就是使用该系统搭建而成。 VuePress在一定程度上扩展了Markdown语法,但仍然缺少一些常用的功能,例如文本对齐、标记、流程图、公式、演示等,同时默认主题提供的一些功能较弱或缺失,如图片预览、代码块复制、目录页等。同时VuePress默认主题太简陋,功能不够强大。在这种情况下,vuepress-theme-hope和一些系列插件就应运诞生。与默认主题相比,不仅大大改进了美观度,而且通过主题插件为VuePress提供了全方位的增强功能。 官网地址: https://theme-hope.vuejs.press/系统特色: 如果你是一名文学爱好者想放置一些随笔,主题提供了自定义对齐与脚注。 我们对图片进行了一些内置增强。 如果你希望存放一些知识笔记,主题提供了自定义容器、标记、任务列表、思维导图与公式支持。 如果你是一名程序员需要大量展示代码与demo,本主题为代码块提供了浅色与深色两种主题,代码组与代码块复制按钮。同时我们还提供代码演示,Playground Kotlin Playground和Vue Playground功能,方便你展示自己的Vue、React组件或者其他demo。 如果你需要提供产品文档与展示,主题提供了选项卡、幻灯片、图表、echarts、流程图、Mermaid图表与Plant UML功能。 为了重新组织你的内容,主题提供了文件包含功能。 为了设置内容的样式,主题提供了下标和上标、属性设置和样式化功能,并为你提供了很多有用的组件。 带后台式系统推荐 Typecho 封面: 简介: Typecho是由type和echo两个词合成的,来自于开发团队的头脑风暴。Type,有打字的意思,博客这个东西,正是一个让我们通过打字,在网络上表达自己的平台。Echo,意思是回声、反馈、共鸣,也是PHP里最常见、最重要的函数,相信大部分PHP爱好者都是从echo 'Hello,world!';开始自己的PHP编程之路的。 名称就表明Typecho是一款博客程序,它在GPL version 2许可证下发行,基于PHP构建,可以运行在各种平台上,支持多种数据库。 官网地址: https://typecho.org/系统特色: 轻量高效,仅仅7张数据表,加上不足400KB的代码,就实现了完整的插件与模板机制。超低的CPU和内存使用率,足以发挥主机的最高性能。 先进稳定,原生支持Markdown排版语法,易读更易写。支持BAE/GAE/SAE等各类云主机,即使面对突如其来的高访问量,也能轻松应对。 简洁友好,精心打磨过的操作界面,依然是你熟悉的面孔,更多了一份成熟与贴心。每一个像素的剪裁,都只为离完美更进一步。 Emlog 封面: 简介: EMLOG是一款轻量级开源博客和CMS建站系统,速度快、省资源、易上手,适合各种规模的站点搭建。 官网地址: https://www.emlog.net/系统特色: Markdown编辑器:内置Markdown编辑器,并自动保存,使创作过程更加舒适和高效。 多用户角色:支持多种用户角色,同时提供用户注册和登录功能,方便读者和作者的互动。 多媒体资源管理器:内置多媒体资源管理器,方便上传、管理图片、音频、视频和文件等各种媒体资源。 模板主题:应用商店提供多种模板主题,轻松打造独具个性的站点。 插件生态:拥有强大的插件扩展系统,快速扩展站点功能,满足特定需求。 强大的SEO功能:支持文章URL自定义、站点及分类页的TDK定制,有助于提升站点在搜索引擎中的可见性。 自定义侧边栏管理:提供灵活的侧边栏组件管理。 自定义页面:支持创建自定义页面,包括留言板、个人介绍等,帮助你打造更富有个性和功能的站点。 标签和分类:文章可轻松归类和标记,提供更好的信息组织和检索功能。
