NCTF2020复盘
前言 从大一开始我每年都打 NCTF,除了恰烂钱,感觉每次都可以学到点不一样的东西。今年的 web 题有点不一样,感觉挺有意思的,加深了我对 JavaScript 相关的一些安全问题的理解。 JS-world 这道题涉及到的是 ejs 模板的注入问题,同时传入的后端的信息会先经过前端过滤一次。…
2020-11-23
随笔 安全
HTTP连接模型
前言 HTTP 层的数据传输对于 web 开发人员来说是一个黑盒,但是平时的开发又离不开它。因此有必要去了解一下它是如何保障我们的数据可以被高效、准确地传输。 连接模型 抓包使用环境 macOS 10.15.7 Nginx 1.18.0 Chrome 86.0.4240.80 Wireshark …
2020-10-23
随笔 计算机网络
web应用加载优化相关
前言 大一上时刚学会点 php,然后自己是学习委员,作为学习委员需要经常收电子版的实验报告,从 QQ 上将实验报告一份一份下载很麻烦,为了提高效率就萌生了写一个提交作业的网站的想法。在这里我第一个使用 mysql+php+python 搭建了一个项目,现在回头看,之前写的代码确实不怎么好。没有一…
2020-10-10
随笔
栈溢出利用
概述 软件漏洞分析课程的一次作业,利用了栈内存的缓冲区溢出,覆盖了返回地址,从而达到劫持控制流的目的。如果希望能具体了解一下图中 c 函数调用的实现,可以看一下 B 站上陈渝教授的这个视频。 使用gdb进行调试,strcpy函数可以被利用引起缓冲区溢出,目前的问题时需要多长的字符串,以及需要将f…
2020-09-16
随笔
对JavaScript的异步机制的理解
单线程异步 JavaScript是一门单线程异步的语言。这听起来似乎有点奇怪,只有一个 js 线程,为什么还能实现异步的功能。实际上,js 的异步操作的执行例如网络请求、定时器,并不是在 js 线程上执行,这些能力是由宿主环境提供的。例如在浏览器上有五大线程,GUI渲染引擎线程、JavaScrip…
2020-09-08
JavaScript 随笔
查看全部