这几天来福冈参加 W3C TPAC 2019 的会议,从17日到21日。今天大早上8点多的飞机,所以早上5点多就需要起来了,所以睡觉一直都不是很踏实,醒了好几回。到机场打登机牌还找了好久,一直记得之前国内的自助打登机牌了,原来国际的需要走托运那块办。我们是从大连转机,到大连的飞机上有好多中英双语特别6的人,有老人小孩,超羡慕的说。
什么是目录遍历 第一次接触到目录遍历漏洞还是在 ThinkJS 2 的时候。代码如下图,目的是当用户访问的 URL 是静态资源的时候返回静态资源的地址。其中 pathname 就是用户访
开篇之前先介绍一下场景。信息流是一个基于用户兴趣使用算法将用户感兴趣的新闻内容推荐给用户的一种业务。这种业务带有非常特色的场景就是用户有一个
文件上传漏洞及危害 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上,当开发者没有对该文件进行合理的校验及处理的时候,很有可能让程序
前几天 Google IO 上 V8 团队为我们分享了《What’s New in JavaScript》主题,分享的语速很慢推荐大家可以都去听听就当锻炼下听力了。
什么是 OS 命令注入 上周我们分享了一篇 《Web 安全漏洞之 SQL 注入》,其原理简单来说就是因为 SQL 是一种结构化字符串语言,攻击者利用可以随意构造语句的漏
什么是 SQL 注入 “有人的地方就有江湖,有数据库存在的地方就可能存在 SQL 注入漏洞。” 在所有漏洞类型中,SQL 注入可是说是危害最大最受大家关注的漏洞。
前言 在现代新建一个 JS 相关的项目往往都是从 package.json 文件开始的,不过这个文件里需要的字段实在是太多了,正常人都记不住,所以 npm 官方提供了 npm init 命令帮助我们
什么是 CSRF 在了解 CSRF 之前我们需要科普两个前提。首先是登录权限验证的方式有很多种,目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简
75CDN 是一个由奇舞团维护的静态资源托管平台,创立至今已经稳定运行了两年多的时间。近期我们增加了 ES Module 的支持,成为国内首个拥抱 ES Module 服务的静态资源库。