注:原文发表于2012.12.31,之后在博客地震中消失了,这是从cc98上恢复的版本。
CC98论坛是浙大校内最大的论坛,每日有数万发帖,这个网站是由校内学生团队维护。由于历史原因,采用的是一套有一定历史的论坛系统,并在上面做了很多修改。修改后的系统基本杜绝了SQL注入漏洞,安全性有很大提高,但是也缺乏很多web2.0功能和一些对xss的防范。本文讲述的就是我在12.31日22点左右对其进行的一次XSS蠕虫测试。蠕虫以站短形式传播,会选取被感染发过的主题楼中第一页出现的ID发送站短,并使被感染账户在一个指定的楼里(标题名happy new year~) 进行回复。初始传播约为10人,传播开始后大约半小时感染了数百用户,蠕虫自动回复楼已经攀升到当日十大最热门贴子。然后被管理团队发现,删掉了自动回复楼,并关闭了站短功能(蠕虫传播渠道)。此后樱桃和我进行了沟通,并fix了此xss点。
Continue reading
一般来说在使用cookielib的CookieJar时,如果想手动设置header中的cookie字段,需要使用MozillaCookieJar从cookie文件载入,这显然太不方便了,如果直接对每一个请求set-header又相当于需要完全自己管理cookie,放弃了urllib2提供的HttpCookieProcessor。有没有两全其美的办法?
读了会源码,发现Cookie库提供的SimpleCookie可以从raw string解析,但是它并不能用于CookieJar的set_cookie方法中,因为CookieJar事实上接受的是cookielib.cookie这个类型… 但仍然可以利用SimpleCookie的解析方式,提取出raw string的value pair,调用cookielib.cookie的构造函数传入set_cookie中。
Continue reading
在改写cookiemonster时遇到了此问题,暂时通过将browser模块抽出来成为单独的py然后传参数execl解决,但仍不清楚为何Process中QApplication退出后开启新的event loop不可行 Continue reading
虽然Nokia已经结束了对Qt-jambi的官方支持,但是从个人较多使用Qt进行C++ GUI编程的这个角度来说,我还是比较喜欢jambi做Java上的GUI编程。Swing太过丑陋,SWT没有很多接触过,个人还是觉得熟悉的Qt比较优雅和熟练。
Continue reading
LaoHeShanXia 浙江大学教务网客户端 Android 状态:暂停
下载地址:flanker017.sinaapp.com/laoheshanxia/LaoHeShanXia.apk
GradeNotifier 浙江大学教务网成绩提示工具 Qt/Java
下载地址:http://115.com/file/be44aprk
备忘。。。
将Motion/style.css中的
html,body,div,p,span,h1,h2,h3,h4,h5,h6,img,ul,ol,dl,li,dt,dd,blockquote,form,fieldset,pre,
label,input,table,th,td,a {
margin: 0;
padding: 0;
border: 0;
vertical-align: baseline;
color: #fff;
}
去掉pre,单独为pre加一个配色方案:
pre
{
color: #000;
}
即可将代码块的颜色改成黑色,与motion能在一起看。。。
闲的蛋疼,写的小程序,首先感谢Sakura的帮助~
参考文献地址:GetTcpTable2的MSDN说明,其中的例子很详细,GetExtendedXXXTable虽然函数调用方式不一样但拿到的连接信息调用方式是一样的。
主要使用的API: GetTcpTable2和GetExtendedUdpTable(GetExtendedTcpTable)
Continue reading
