箫笛

摘要： 要使XSS攻击成功，攻击者需要在网页中插入和执行恶意内容。web应用程序中的每个变量都需要受到保护， 确保所有变量都经过验证，然后被转义编码或者清理过滤，这就是完美的抗注入性。任何未经过此过程的 变量都是潜在的弱点。 框架使确保变量得到正确验证和转义或清理变得容易，然而框架往往并不完美，在React 阅读全文

摘要： 1. 不受信任的数据应当作只作为可显示的文本，而不应当是可执行代码或者HTML标记。 2. 在进入应用程序时，始终将不受信任的数据编码和分隔为带引号的字符串。 3. 使用document.createElement("..."), element.setAttribute("...","value" 阅读全文

摘要： 1. 传统分类 反射型XSS (Reflected XSS) 当web应用在搜索结果，错误消息或其他响应返回用户输入时，就会发生反射型XSS。最常见的做法 是攻击者利用web应用的xss漏洞，构造一个url，通过邮件短信等方式诱导用户点击，当请求发出后， web应用返回url中隐藏的恶意代码，并在用 阅读全文

摘要： 1. xss via dangerouslySetInnerHTML 在React中使用 dangerouslySetInnerHTML时要确保，数据来源是否可控且不包含javascript代码, 否则就有xss攻击的风险。 const text = "<img onerror='alert(\"H 阅读全文

摘要： xss(Cross-Site Scripting), 跨站脚本攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。 利用恶意脚本攻击者可以获取用户的敏感信息,Cookie, SessionID等，进而危害数据安全。 1. xss 类型 1. 存储型xss: 恶意脚本来源于数据库 由于 阅读全文

摘要： 1. let命令 n1=1 n2=2 # 求和运算 let result=n1+n2 # 自增运算 let n1++ # 自减运算 let n2-- # 自身加5 let n1+=5 等号后面的运算表达式不能有空格 2. 使用[] n1=1 n2=2 sum=$[ $n1 + $n2 ] echo 阅读全文

摘要： 1. 获取终端信息 # 获取终端的列数 tput cols # 获取终端的行数 tput lines # 获取终端名称 tput longname 2. 移动光标 # 移动光标到（10，80）处 tput cup 10 80 3. 设置终端 # 设置背景色 tputsetb n # n为0-7的数字 阅读全文

摘要： 1. 使用选项-x bash -x script.sh 2. 使用set -x 进行部分调试 array=(1 2 3 4) for value in ${array[@]} do set -x # 开启调试 echo $value set +x # 关闭调试 done set -x # 在执行时显 阅读全文

摘要： 1. 处理简单选项 ./test.sh -a -b -c while [ -n "$1" ] do case "$1" in -a) echo "have -a option" ;; -b) echo "have -b option" ;; -c) echo "have -c option" ;; 阅读全文

摘要： 1. 读取参数 $1 获取第1个参数 $2 获取第2个参数 ${10} 获取第10个参数 ./test.sh 2 3 # test.sh 脚本内容 var1=$1 # 2 var2=$2 # 3 var3=$[ $var1 * $var2 ] echo $var3 # 6 获取超过第9个参数时要用花 阅读全文