heySister

记录要搭建一个类似于微博功能的网站，在github上没有找到合适的thinkphp的repo，所以就改用laravel了，这个东西看着很复杂的样子。刚了解了一些，比thinkphp应该是更难学一些，而且感觉文档也不是特别简单明了。在这里就把整个搭建过程记录下来。过程github地址：https://github.com/summerblue/weibo把这个下载下来，放到网站根目录之后。需要php 7.3版本，而我的虚拟机里装的是php7.0，所以先装一下新版本。执行apt-get insta

前提我搭建的网站里面需要有绑定邮箱服务，用qq邮箱这些肯定是不行的，没有那么多，计划得随机生成很多。所以需要自己搭建一个邮箱服务器。记录之前有其他人弄过模版了，所以我没有实际自己去搭，就记录几个疑惑的点。看了一些帖子：https://qing.su/article/154.htmlhttps://qing.su/article/158.htmlhttps://blog.youkuaiyun.com/witton/article/details/105882959https://blog.csdn.n

前提我要开发一个博客类的网站，在github上找到一个还挺好用的repo，代码写的很规范，而且满足我想要的功能。贴一下地址：https://github.com/wolf-leo/Wolf-Blog ，是使用thinkphp 5.1开发的。我想加评论功能进去，这个博客代码也给出了添加评论代码的地方。在application/index/view/info_index.php文件中。<div class="comment" id="comments"> <!--这里填写第三方

记录之前觉得问题都是出在RP端的，比如没有正确校验state参数，没有正确使用state参数这些。刚刚突然发现其实IdP端也没有校验好。有些网站压根就没有使用state参数，这种情况下，作为IdP端，应该是提示需要有随机参数的，但是像微信、微博都是当做正常情况下处理的。（可能是为了给应用网站提供更大的自主空间，允许他们使用自己定义的参数，毕竟讲道理只要应用网站做好校验，就可以避免漏洞的）还发现优快云在使用OAuth来绑定微信账号的时候，state参数是固定为了csdn，但是因为优快云在绑定账号前需

记录一个小问题。Thinkphp的令牌使用方式是：前端表单添加<input type="hidden" name="__token__" value="{$Request.token}" />后端添加规则$validate = ['__token__' => 'token']$data = ['__token__' => Request::param('__token__', 'post')]后端校验$validate->check($data)代码正确的情况

记录要复现jsonp的跨域访问漏洞，之前测试的都是正常的。先说一下功能：点击A链接，前端通过script的src属性请求B的jsonp数据，然后得到返回的内容。在B校验不严格的情况下，我就可以拿到jsonp中的数据，A链接就是攻击者构造的恶意链接。是自己复现，所以前后端我都自己开发了。后端用Thinkphp，正常业务下，前端通过ajax请求jsonp，是没有问题，可以请求到的。当构造A恶意链接之后，浏览器会拦截掉这个跨域请求。讲道理jsonp就是解决跨域访问的问题好吗。然后就开始找问题了。拦截的这

ThinkPHP前言问题记录前言最近想用ThinkPHP开发一些东西。以前没有使用框架开发过，从来都是一个文件一个文件地写…emm…简单记录一下这中间我遇到的问题，不会详细写使用过程。问题记录学习过程中最好还是参考官方的开发文档。理解各个文件目录、各个文件大概是什么结构、什么作用。Application和module。这两个在开发文档的 架构总览 章节写的很清楚了。我现在理解的情况是...

目录写在前面二维数组中的查找替换空格（首先，我都惊了，@[TOC](目录)我先是写成@(TOC)[目录]，后来改成@(TOC)(目录)。还在想为什么我的语法不起作用。真是眼睛太大了。）写在前面2019.11.05网上的题解很多，我只是想记录一下我做题的过程，思路。还有收获（希望是有的）。之前做了一两个星期？由于一些事情停下来了，状态有点接不上，就先写一下之前的题解吧。代码放到gith...

前言大学学的时候就很混乱，搞不清楚…迷迷糊糊，混混沌沌混过了考试，最近用到，需要了解一些，所以就好好地又理解了一波，可能还不是非常清楚，但是！！比以前清楚很多就是了…...

前言一直都对公私钥迷迷糊糊的，之前配置过ssh密钥登录，还有加密邮件，都是死照着步骤配置，不理解每一步是为啥…今天看了一下，记录一波。公私钥生成ssh-keygen -t rsacat ~/.ssh/id_rsa.pub //public key~/.ssh/id_rsa //private keyssh密钥登录我登录阿里云的vps一直都是通...

写在前面纠结要起个什么样的文章标题…这篇帖子不会写的太硬核，就是想稍微理一下我自己的思路。最近看了入侵检测和钓鱼检测的论文。入侵检测给我的感觉是系统太大了，而且从199几年就开始用机器学习做了

前言最近做实验需要用到weka这个工具，不是机器学习出生，懵懵懂懂啊。这个帖子不是系统地整理，只是简单地记录我对这个工具熟悉的每一步，甚至还没有逻辑

写在前面之前好像一直都没有碰到过钓鱼页面啥的…前天刚好碰到，就简单分析一下。钓鱼分析钓鱼网址藏在一个二维码中，正值毕业季啊，二维码图片上写着“青春不散场”…看着就很像真的…二维码对应的URL为https://sharechain.qq.com/1b4e56f042d5bf060fe0e44d6346eebf，是一个腾讯微云的链接。没有用过腾讯微云，感觉像是分享一个帖子，然后帖子点进去就是下...

简单记录使用闭包时的注意事项：返回函数不要引用任何循环变量，或者后续会发生变化的变量。装饰器：https://www.jianshu.com/p/4e55ae6a3eba

sqlite3首先，最开始遇到一个问题，就是删除了内容，但是文件大小没有变化。我以为是因为删的内容太小了…但是后来发现不管删除多少文件大小都不会变化。在网上查了一下发现是因为他就是不会释放空间的。需要执行一条指令：cursor.execute('VACUUM')接着，因为要用到rowid，需要删掉某些rowid的数据，所以就要考虑rowid到底会不会变化。网上查到的结果是，我删掉某一条数...

需求最近在开发一个小插件，需要实现在Chrome插件中钓鱼python脚本的功能。查了一下发现使用Native Message来实现。流程https://developer.chrome.com/extensions/nativeMessaging看官方文档，以及官方的例子其实就可以很清楚了。大概意思就是在本地注册一个服务，然后插件去调用服务。也就是说我按照要求写好配置文件，插件调用配...

记录我要实现的功能是获取当前页面的html内容。最开始设置的情况是："content_scripts": [ { "matches": ["<all_urls>"], "js": ["js/content.js"], "run_at": "document_end", ...

IMAP这里给出一个链接：163 IMAP与POP3区别一直都不知道这些协议到底有什么区别…可能现在也不是特别了解，就只是大概知道了一下。感觉那个链接里面还是说的很清晰的。163邮箱读取刚开始是尝试了一下163邮箱邮件内容的读取，但是在执行imap_open()的时候报错了，随后163邮箱收到一封邮件，大概意思就是连接不安全，所以被阻止了。查了一下说是163为了推自己的客户端，所以才有这...