Clik here to view.
让我们来谈谈分工
昨天,我看到 一个新闻——雅虎取消了QA团队,工程师必须自己负责代码质量,并使用持续集成代替QA。 同时,也听到网友说,“听微软做数据库运维的工程师介绍,他们也是把运维工程师和测试工程师取消了,由开发全部完成。每个人都是全栈工程师”。于是,我顺势引用了几年前写过一篇文章《...
View ArticleClik here to view.
基于WPAD的中间人攻击
0x00 前言学习@Her0in《Windows名称解析机制探究及缺陷利用》很受启发,于是对其实际利用做了进一步研究,发现基于WPAD的中间人攻击很是有趣,现将收获分享给大家。0x01 简介WPAD:全称网络代理自动发现协议(Web Proxy Autodiscovery...
View ArticleClik here to view.
Clik here to view.
Clik here to view.
WebSocket实现多屏互动的分析及方案
多屏互动事实上是一个比较宽泛的概念,通俗来讲就是用户在不同的终端上通过有线、无线的连接方式进行通信,可进行多媒体(音频,视频,图片)内容的传输,解析,展示,控制等一系列操作。而随着WebSocket协议的诞生,不同端之间的网页互连也变得流行起来,这种基于WebSocket协议实现多屏互动在运营活动上的使用也使得运营页面的形式也变得更加多样和有趣。本文不会去探讨WebSocket协议的详情,想了解的可...
View ArticleClik here to view.
顺势而为,HTML发展与UI组件设计进化
在阅读本文之前,建议先阅读之前的一篇文章:“ 面向设计的半封装web组件开发”,便于理解文章的一些解惑。一、现状1. 前端发展现状 前端这几年的发展都是有目共睹的,然而,如果按照已经落地投入实践的标准梳理下,会发现,基本上都是偏后的JS开发层面的,比方说Node.js下的前后端分离,MV*库,React.js,各种包管理工具及前端集成解决方案等。而往前,Shadow DOM, Web...
View ArticleClik here to view.
关于BeanCopier的一些思考
在做业务的时候,我们有时为了隔离变化,会将DAO查询出来的Entity,和对外提供的DTO隔离开来。大概90%的时候,它们的结构都是类似的,但是我们很不喜欢写很多冗长的b.setF1(a.getF1())这样的代码,于是我们需要BeanCopier来帮助我们。在做业务的时候,我们有时为了隔离变化,会将DAO查询出来的Entity,和对外提供的DTO隔离开来。大概90%的时候,它们的结构都是类似的,但...
View ArticleClik here to view.
教你如何监控 Apache?
什么是 Apache?Apache是一款 HTTP 服务器软件,现在更名为 "http",而 Apache 则成了一个(包含httpd的项目)巨大的 基金组织,根据习惯后文都用 Apache 特指 Apache HTTP Server(httpd)。Apache 诞生于1995年,且从 96 年 4 月起就一直是全球最流行的 web 服务器。该项目的定位是一个开源且跨平台(支持类 UNIX 系统和...
View ArticleClik here to view.
浅析手机抓包方法实践
0x00 摘要在移动逆向分析以及 App 开发的时候,总会需要对其网络行为进行监控测试,本文总结一些抓包思路,并对其使用方法进行实践笔者认为在抓包界,Wireshark 应该算是综合排名第一的工具(其实 Wireshark 自带的命令行工具 tshark 更牛逼)本文总结记录了 5 种抓包方式,掌握其一即可进行实践,欢迎大家一起交流分享0x01 基于 Wireshark实验步骤:1.1...
View ArticleClik here to view.
数据隐藏技术
0x00 前言数据隐藏已经渗透到了生活中的方方面面,之前一直对数据隐藏很有兴趣,但是乌云上关于数据隐藏的文章偏少,看了 隐写术总结之后,我又去找了一些关于数据隐藏的资料,这里来与大家分享和总结下其他一些比较常见的隐藏手段,如果有写错的地方请直接指出,谢谢。0x01...
View ArticleClik here to view.
2015年豆瓣高分榜
冬去春来,又一年过去了。在过去的一年里,豆瓣用户有了更丰富的生活,标记了更多项目,包括图书、电影、音乐、东西、小组等。我们根据这些标记,整理了2015年口碑最好的兴趣榜单。在这里,你也许会发现:今年最爱的书 《你今天真好看》也受到了大家的欢迎;你和友邻一直都在共同关注着 “我不知道该如何像正常人那样生活”专栏;原来电影 《心迷宫》有那么多人看过并给了高分;那张被友邻们念叨了好久的...
View ArticleClik here to view.
代码审计入门总结
0x00 简介之前看了seay写的PHP代码审计的书,全部浏览了一遍,作为一个代码审计小白,希望向一些和我一样的小白的人提供一下我的收获,以及一个整体的框架和常见漏洞函数。这也算是这本书的一个学习笔记吧,可以结合我捋顺的思路来看这本书。: )0x01 整体学习代码审计的目标是能够独立完成对一个CMS的代码安全监测。其通用的思路有:通读全文代码,从功能函数代码开始阅读,例如 include文件夹下的...
View ArticleClik here to view.
银行的动态口令令牌是什么原理
有网银的少年们一般都收到过银行给的这样一个令牌,俗称动态口令,在支付的时候输入自己的密码和动态口令上的动态密码,就能完成验证,银行就相信你不是坏人了,今天我们来简述一下这个动态口令令牌是个什么原理。PS:本篇阅读可能需要读者有一些密码学基础,预警一下。RSA SecurID SID700如图的RSA SecurID...
View ArticleClik here to view.
理解Docker跨多主机容器网络
在 Docker 1.9出世前,跨多主机的容器通信方案大致有如下三种:1、 端口映射将宿主机A的端口P映射到容器C的网络空间监听的端口P’上,仅提供四层及以上应用和服务使用。这样其他主机上的容器通过访问宿主机A的端口P实...
View ArticleClik here to view.
Apache Storm内部原理分析
本文算是个人对Storm应用和学习的一个总结,由于不太懂Clojure语言,所以无法更多地从源码分析,但是参考了官网、好多朋友的文章,以及《Storm Applied: Strategies for real-time event...
View ArticleClik here to view.
云服务器安全设计
0x00 产品定位目前越来越多的初创企业把自己的业务系统架设在公有云上,包含:阿里云、Ucloud、青云、华为云和AWS。在云上的安全怎么保证,是目前摆在我们面前的最大问题,因为,互联网公司业务系统在不断迭代,迭代周期最少的有3天,而且架构也不断在改变。在这种频繁改变的过程中,云安全应该怎么保证?,云主机安全服务平台(Cloud security as a...
View ArticleClik here to view.
深入解析DLL劫持漏洞
Author:Wins0n0x00 DLL劫持漏洞介绍0.1 漏洞简介如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windows会尝试去指定的目录下查找这个DLL;如果攻击者能够控制其中的某一个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。这就是所谓的DLL劫持。在Windows XP...
View ArticleClik here to view.
Clik here to view.
Jmeter 使用实践 - 接口 diff 测试
大多数人都使用 Jmeter 做过性能测试,但是在使用的过程中你会发现,它不仅可以做性能测试和功能测试,还能够满足基本的接口测试需求。相比其他工具,Jmeter 入门门槛较低,安装也比较方便,根据自己的需要可以扩展一些插件,总之一句话: 优点太多了。那么问题来了,为什么要做接口 diff 测试?产品迭代较快,提高已有 case 回归的效率,减轻工作量; 通过 diff...
View ArticleClik here to view.
物联网核心协议,消息推送技术演进
消息触达能力是物联网(internet ofthings, IOT)的重要支撑,而物联网很多技术都源于移动互联网。本文阐述移动互联网消息推送技术在物联网中的应用和演进。一、物联网架构和关键技术从开发的角度,无线接入是物联网设备端的核心技术,身份设备管理和消息推送技术是物联网云端的核心技术。而从场景体验的角度,除了前者,还要包括手机的前端开发技术。在上一篇《...
View Article