http head injection

本文仅针对http 头注入进行总结,首先按常见性罗列一下存在http头注入的参数.

上述http头部存在都是有真实的案例,作为科普文,还是得将每个头部具体干嘛的写下.
HTTP头部详解
User-Agent:使得服务器能够识别客户使用的操作系统,游览器版本等.(很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中)
Cookie:网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密).
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP]).
Clien-IP:同上,不做过多介绍.
Rerferer:浏览器向 WEB 服务器表明自己是从哪个页面链接过来的.
Host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号(这个我本人还没碰到过,不过有真实存在的案例还是写上吧).

(CVE-2017-8464)LNK文件(快捷方式)远程代码执行漏洞复现

情报

北京时间2017年6月13日凌晨,微软官方发布6月安全补丁程序,“震网三代” LNK文件远程代码执行漏洞(CVE-2017-8464)和Windows搜索远程命令执行漏洞(CVE-2017-8543).

Master File Table Bug

$MFT

每天进步一点,人帅就要多读书。

Winrar 去广告弹窗

所需工具

ZIP Pseudo Encryption

伪加密

伪加密是在未做加密的ZIP文件基础上修改了它的压缩源文件目录区的全局方式位标记的比特值。
伪加密让压缩软件打开它的时候识别为加密文件,想获取压缩包中的文件,就必须输入密码,但是你
不管输入什么密码都提示密码错误,都没办法打开它。

杰斐逊盘

​一种生僻的古典密码,最早由托马斯·杰斐逊Thomas Jefferson)于1795年发明的,这个密码并没有成为众所周知的,而是由一个世纪之后的伟大的密码的征服者艾蒂安·巴泽尔司令独立发明的。该系统所使用的美国合众国陆军从1923年直到1942年的M-94

​又称Bazeries圆桶,是一种密码系统使用一组轮或磁盘,每个磁盘具有布置围绕它们的边缘字母表的26个字母的。字母的顺序对于每个磁盘是不同的,并且通常以随机的方式加扰。每个磁盘都标有唯一的数字。磁盘中心的一个孔允许它们堆叠在一个轴上。磁盘是可移动的,可以按照所需的顺序安装在轴上。磁盘的顺序是加密密钥),发送方和接收方都必须以相同的预定义顺序排列磁盘。

Hello World

1.node.js and git

node.js : https://nodejs.org/en/download/