XXE 实体注入

XXE 实体注入 好文推荐 https://xz.aliyun.com/t/3357#toc-0 https://cloud.tencent.com/developer/article/1690035 XXE 认识 XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的,他就是长得下面这个样子 1 2 3 4 5 6 <message> <receiver>Myself</receiver> <sender>Someone</sender> <header>TheReminder</header> <msg>This is an amazing book</msg> </message> XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XM……

阅读全文

5分钟k3s - k3s单节点架构介绍与安装卸载管理

5分钟k3s - k3s单节点架构介绍与安装卸载管理 k3s 单 Server 节点架构 K3s 单节点集群的架构如下图所示,该集群有一个内嵌 SQLite 数据库的单节点 K3s server。 在这种配置中,每个 agent 节点都注册到同一个 server 节点。K3s 用户可以通过调用 server 节点上的 K3s API 来操作 Kubernetes 资源。 单节点k3s server的架构 Server 安装 安装条件……

阅读全文

5分钟k3s-什么是 K3s? K3s 简介与适用场景介绍

什么是 K3s? K3s 是一个轻量级的 Kubernetes 发行版,它针对边缘计算、物联网等场景进行了高度优化。 K3s 有以下增强功能: 打包为单个二进制文件。 使用基于 sqlite3 的轻量级存储后端作为默认存储机制。同时支持使用 etcd3、MySQL 和 + PostgreSQL 作为存储机制。 封装在简单的启动程序中,通过该启动程序处理很多复杂的 TLS 和选项。 默……

阅读全文

(1) 静态前端网站容器化 - 理论篇

使用js读取html meta 实现静态前端网站容器化 之前写过一篇关于前端容器化的文章, 静态前端网站容器化 。 现在看来, 那个方案的可操作性并不高, 而且很弱智。 其中实现是需要使用 sed 替换 所有文件 中的占位符。 然后, js 本身是可以通过 html meta 传递信息的。 以下, 则是 通过 js 获取 html meta 信息以实现前端容器化 1. 重新整……

阅读全文

gitlab-ci 配置复用 - reference tags

gitlab-ci 配置复用 - reference tags 在 GitLab 13.9 中增加了一个新的关键字 !reference。 这个关键字可以在任意位置复用已存在的配置。 1 2 3 4 # tree ci/setup.yml .gitlab-ci.yml ci/setup.yml 1 2 3 4 5 6 # 以 . 开头的 job 名称为 隐藏job , 将在 ci 中将被忽略 # https://docs.gitlab.com/ee/ci/yaml/README.html#hide-jobs .setup: image: hub-dev.rockontrol.com/docker.io/library/alpine:3.12 script: - echo creating environment .gitlab.ci.yml 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36……

阅读全文

lego-certmgr 使用 lego 生成证书的 web 服务

lego-certmgr 一款使用 lego 生成域名证书的代理服务 lego-certmgr 是一个基于 lego - Github Libiray 封装的证书申请 代理 。 其目的是 为了快速方便的申请 Let’s Encrypt 证书 提供 RESTful API 接口, 方便下游系统 (ex cmdb) 调用并进行资源管理 因此 certmgr 为了方便快速返回已生成过的证书而缓存了一份结果。 由于 certmgr 定位是 代理 , 所以并未考虑证书的 持久化 和 过期重建 操作。 使用说明 下载……

阅读全文

静态前端网站容器化

静态前端网站容器化 在容器启动的时候,将环境信息初始化到静态文件中,实现无状态镜像。 现实与需求 js 代码需要先从服务器下载到客户本地浏览器运行, 再与后端的服务器进行交付提供服务。 使用 nodejs 书写的网站, 通过 编译 产生静态文件, 放在 WEB容器 (例如 nginx/caddy ) 中即可对外提供服务。 容器本身需要无状态, 实现……

阅读全文

CronJob 和 Job 的 退出 POD 数量管理

CronJob 和 Job 的 Pod 退出保留时间 cronjob 可以认为 CronJob 作为定时调度器, 在正确的时间创建 Job Pod 完成任务。 在 CronJob 中, 默认 .spec.successfulJobsHistoryLimit: 保留 3 个正常退出的 Job .spec.failedJobsHistoryLimit: 1 个异常退出的 Job 1 2 3 4 5 6 7 8 9 10 11 12 13 apiVersion: batch/v1beta1 kind: CronJob metadata: name: zeus-cron-checkqueue namespace: zeus-dev spec: schedule: "*/10 * * * *" failedJobsHistoryLimit: 1 successfulJobsHistoryLimit: 3 jobTemplate: spec: template: # ... 略 https://github.com/kubernetes/kubernetes/issues/64056 job 除了 cronjob 管理 job 之外, job 本身也提供 .spec.ttlSecondsAfterFinished 进行退出管理。 默认情况下 如果 ttlSecondsAfterFinished 值未……

阅读全文

存储型 XSS 利用

存储型XSS 0x00 写在前面 任何事情切忌脑壳铁, 多听、多看、多梳理才能快速构建自己的知识树 , 因而提高自己的快速检索能力。 好文推荐 循序渐进理解:跨源跨域,再到 XSS 和 CSRF - 双猫 信息收集 fofa 进入 https://fofa.so 搜索网站地址 整理信息: 操作系统: windows Web容器: apache/2.4.23/(win32) 开发语言版本: php/5.4.45 cms 查询 开发调试工具 cms 指纹工具 这里说一下……

阅读全文

upload-labs上传漏洞利用笔记

文件上传漏洞 http://59.63.200.79:8016/Pass-01/index.php 配置 burpsuite, 开启response 拦截 pass-01 前端验证绕过 核心思想: 拦截 response , 删除前端功能模块。 拦截 response。 删除 96 行以后的 js 模块, 并放行。 获取图片地址, 使用 蚁剑 连接 1 2 3 http://59.63.200.79:8016/Pass-01/upload/webshell.php # flag_kezZYqSU.txt : zkaq{PpsG@-cImaU2cahL} pass-02 Content-Type方式绕过 上传,拦截,抓包,修改 content-type: text/php 为 content-type: image/jpeg 1 2 3 http://59.63.200.79:8016/Pass-02/upload/webshell.php……

阅读全文

福利派送

  • (免费星球)「运维成长路线」

  • 又拍云免费 CDN

最近文章

分类

标签

其它