最近,基于word文档的电子邮件攻击愈发猛烈。邮箱收到一封电子邮件,包含如下的WORD附件。文档打开后,显示如下图。内容就是一幅图片,提示要查看具体的传真内容要求用户启动宏。不言而喻,这是一个带有宏的word文档。
Valine Admin 是 Valine 评论系统的扩展和增强,主要实现评论邮件通知、评论管理、垃圾评论过滤等功能。支持完全自定义的邮件通知模板,基于Akismet API实现准确的垃圾评论过滤。 开发者@Deserts
报告或论文集是由许多篇文档汇集而来,既需要说明某一页在当前文档中的页码,又需要说明该页在整个文集中的页码,这就出现了同一页面设置不同页码的情况,利用域很容易解决这个问题。
8 月 9 日的时候 WPS 官方发布了一条代码执行漏洞的安全通告, 另外根据收到的样本和各类通告,发现在今年的攻防演练期间先后三次发生了不同的针对 WPS 利用链的代码执行攻击。通过我们的研究分析发现,该系列的漏洞都因为在 docx 文档中插入了一个浏览器对象 WebShape,由于 WPS 使用了 Chrome 嵌入式框架(CEF),该对象可以直接调用 Chrome 渲染 Html 网页,这三次都是因为 WPS WebShape 漏洞造成的攻击事件,分别为:
一、远程连接并登录到 Linux 实例。 二、执行命令 cd /etc/nginx/conf.d 打开 Nginx 服务配置文件目录。 三、执行命令 vi 您要创建的域名.conf 创建域名规则配置文件,如示例中的 vi www.server110.com.conf。 四、输入 i 编辑新建的配置文件: 为每一个域名建立一个单独的配置文件时输入以下内容: server { listen 80; #监听端口设为 80。 server_n
奇葩的要求年年有,这个要求特别怪——付费让我们建立了域控,部署了文件服务器,权限也设置完了,却要求:1、所有电脑都不加域,但是每台电脑都要用域账户访问网盘(即文件服务器);2、域账户的密码有效期设置为90天;3、要求员工每两个月必须手动修改密码。
如果是博客类网站,应该保证博文在50篇以上申请比较好通过,否则谷歌审查人员会以内容太少理由驳回申请。
红队一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击;通过实现系统提权、控制业务、获取数据等目标,来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。
二级域名用于评论后台管理,如 https://deserts.leanapp.cn 。
《javaScript高级程序设计》这本书讲过: javaScript = ECMAScript + DOM + BOM。
self.data = wildcard.deal_wildcard(self.data)
学校网站是学校的对外宣传名片,每一所学校都有自己的个性特色。建立自己学校网站是最直接的宣传手段。学校网站可以让地区内的人们了解学校,加强家校沟通和了解。同时学校网站也是师生展示风采风貌、建设校园文化的重要途径。
1. 两数之和(1)# 给定一个整数数组 nums 和一个整数目标值 target,请你在该数组中找出 和为目标值 target 的那 两个 整数,并返回它们的数组下标。 你可以假设每种输入只会对应一个答案。但是,数组中同一个元素在答案里不能重复出现。 你可以按任意顺序返回答案。 示例 1: 输入:nums = [2,7,11,15], target = 9 输出:[0,1] 解释:因为 nums[0] + nums[1] == 9 ,返回 [0, 1] 。 示例 2: 输入:nums = [3,2
在昨天的文章里面分享了自己搭建网站需要备案吗的答案,那么可能又有小伙伴要问了,正在备案怎么建网站?
本期任务: 1.掌握备案号的收集 。 2.练习从http返回包中获取信息的能力。 3.所需工具: pip,http请求库:requests库,匹配库:re库、Beautiful Soup,json 问题引入: 1. 何为网站备案号以及为什么收集它? 答:备案号是网站是否合法注册经营的标志,一个网站的域名是需要去备案的。上一期我们教大家如何用搜索引擎收集网站的子域名,思路是从主域名下手,延伸下去获取尽可能多的子域名。而一家企业的网站资产中,远远不止有一个主域名,有很多隐藏的主域名我们未能发现,
题目描述: A website domain like "discuss.leetcode.com" consists of various subdomains. At the top level, we have "com", at the next level, we have "leetcode.com", and at the lowest level, "discuss.leetcode.com". When we visit a domain like "discuss.leetcode.co
平常开发时,或多或少都需要和Word打交道,特变是编辑、导出Word。 利用DocX,开源的读写Word组件,可以快速帮助我们进行对Word的操作。 DocX官方网站:http://docx.codeplex.com/ DocX主要功能 在文档中(Word)插入,删除或者替换文本,支持所有的标准文本格式,如字体{Family,Size,Color},出体,斜体、下划线、高亮等。 提供段落属性,你可以设置其对其方向,如从左到右,居中对齐等。 DocX同样支持对图片的操作、超链接、表格、页首、页眉等。 最
<apex:page cache="true" contentType="application/vnd.msword#he.docx" applyBodyTag="false">
在主题的 functions.php 文件里加入 保护后台登陆的代码: //保护后台登录 add_action('login_enqueue_scripts','login_protecti
因为我的两个站点之前都不是搞纯技术的,现在全部搞成了Linux技术博客,好多人也非常想建立自己的博客。说实话我之前的站点第5篇文章以内几乎都是讲如何建站很详细(也是为了防止后期忘掉),现在既然进来这个门了,咱们就踏踏实实的用真正的技术搞个wordpress博客! 准备 LNMP 环境 LNMP 是 Linux、Nginx、MySQL 和 PHP 的缩写,是 WordPress 博客系统依赖的基础运行环境。我们先来准备 LNMP 环境 安装 Nginx 使用 yum 安装 Nginx: yum install
本文讲解如何使用RAND函数和RANDBETWEEN函数在Excel中创建随机数字或随机文本。
现在设备变得越来越多,导致之前的规则已经不适用了,就算 是A类的子网掩码也可以配置成 两个255
在恶意软件发展的初期,恶意软件编写者会直接将控制服务器的域名或IP直接写在恶意软件中(即使是现在也会有恶意软件遵从这种方式,笔者部署的蜜罐捕获的僵尸网络样本中,很多经过逆向之后发现也是直接将IP写在软件中)。对于这种通信的方式,安全人员可以明确知道恶意软件所通信的对象,可以通过黑名单的方式封锁域名及IP达到破坏恶意软件工作的目的。DGA(Domain generation algorithms),中文名:域名生成算法,其可以生成大量随机的域名来供恶意软件连接C&C控制服务器。恶意软件编写者将采用同样的种子和算法生成与恶意软件相同的域名列表,从中选取几个来作为控制服务器,恶意软件会持续解析这些域名,直到发现可用的服务器地址。这种方式导致恶意软件的封堵更为困难,因此DGA域名的检测对网络安全来说非常重要。
#!/usr/bin/env python #coding:utf-8 from flask import Flask,request,render_template,redirect #request 里面包含一次网络请求所有的内容,所有url参数(get的参数),都在request.args里,args是一个类似字典的数据 #render_template 渲染前端html文件,默认渲染/templates下面的文件,有模板功能 #jinjia2模板语言{{}}包裹的是变量 循环语法{% for x i
众多企业、品牌、个人和企业家都选择了 .icu 域名建立其强大且富有创意的在线形象。 .icu 寓意 “I See You”(我看见你),企业家们可以利用 .icu 域名为他们的网站注册一个令人难忘的名称,并建立其独特、睿智和强大的在线形象。 自成立以来,我们已累积超过一百万个使用 .icu 域名扩展的商业网站,并从中挑选了一些作为示例,快来瞧一瞧! 01996.icu 创建996.icu是为了提高人们对中国开发者们所面临的不良工作时间和恶劣工作条件的认知。 996.icu 来源于中文短语“工作996,
其实大体来说就是使用表达式将符合条件的字符串进行提取 希望我们能从易到难,从语法到实践的思路去学习,把它攻下来
本文档是根据 discourse/INSTALL-cloud.md at main · discourse/discourse · GitHub 页面中的内容进行翻译的。
Lucene—-全文检索的工具包 隶属于apache(solr也是属于apache,solr底层的实现是Lucene)
如果没限制的话,任何人都可以留言,数据会记录到leancloud管理端。但是因为没有后台,你查看评论只能在你博客页面查看或者去leancloud管理端去管理原始评论数据,就不是很方便。
支持到PHPCMS V9.1.18 前段时间由于结婚,耽搁了ueditor 1.2.2的整合,实在抱歉。最近几天熬夜整合了ueditor 1.2.3,依然是亮点与BUG同样闪耀的ueditor,依然是深度整合PHPCMS V9。 ueditor官方网站:http://ueditor.baidu.com/ ueditor在线演示:http://ueditor.baidu.com/website/onlinedemo.html PHPCMS 官方网站:http://www.phpcms.cn/ 注意:所有文件都是utf-8编码,gbk编码的同学需要自行转换编码。 感谢aqstudio同学进行gbk转码,gbk编码的同学请移步:http://bbs.phpcms.cn/thread-697394-1-1.html 下载方式依然在最后! 2012年12月14日9时30分:修复前台会员中心投稿和黄页中上传页面显示问题(前台会员中心投稿要使用上传功能,需在后台“用户”》“管理会员组”中为相关用户组设置“允许上传附件”)。 2012年9月22日21时30分:修复抓取多个远传图片后所有图片均显示为第一个图片的问题。感谢水影(QQ:506883601)反馈BUG。(涉及文件:ueditor.php) 2012年9月13日23时20分:修复图片上传后在附件表中图片记录的status的状态为“0”的问题,修复图片上传后图片名(filename)的后缀名重复的问题。感谢DON(QQ:313959887)反馈BUG。(涉及文件:attachment.class.php,ueditor.php,wordimage.tpl.php,wordimage.tpl.php,editor_all.js,scrawl.js) 2012年9月4日16时30分:修复子标题对话框不能显示的BUG。 2012年9月4日0时30分:整合ueditor1.2.3,新增图片上传水印控制、涂鸦、远程图片抓取、word图片转存等功能,修复PHPCMS V9后台管理启用二级域名引发的JS跨域问题,改进子标题显示。感谢遥望(QQ:1239523)反馈修改意见。 2012年7月9日22时10分:由于最近准备婚礼,ueditor1.2.2整合只能推迟了,非常抱歉,敬请谅解! 2012年6月9日16时20分:修复staticsjsueditordialogsimageimage.js中ueditor路径调用错误的BUG(造成前台、黄页或者其他位置上传图片时flash上传组件不能显示) 2012年6月2日22时50分:ueditor升级到1.2.1版本,新增了对远程抓取图片功能的整合(由于ueditor1.2.1改动较大,整合花了点时间,放出的晚了,请见谅,IE6下未测试,请用IE6的朋友帮忙测试一下) 2012年4月8日14时30分:感谢 “名湖(QQ:52061009)”帮助修改完善ueditor初始化代码和数据校验代码,修正编辑器z-index的问题,向名湖致敬! 2012年4月7日晚9时:修正由于window.onload冲突而引起在谷歌浏览器下添加和修改新闻时提示“[hash]数据验证失败”的BUG。 主要功能: 1.为ueditor添加PHPCMS V9子标题插件 2.图片上传采用ueditor的默认上传插件 3.附件上传采用PHPCMS V9的附件上传 4.上传路径采用PHPCMS V9的默认目录模式 5.修正了PHPCMS V9 未使用附件列表中没有文件名的一个小BUG 6.实现远程图片抓取功能 7.整合ueditor涂鸦功能 8.整合ueditor word图片转存功能 9.修复PHPCMS V9后台管理启用二级域名而引发的JS跨域问题 10.支持前台用户投稿和黄页新闻发布 上图片:
WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。它是使用PHP语言和MySQL数据库开发的。用户可以在支持 PHP 和 MySQL数据库的服务器上使用自己的博客。WordPress有许多第三方开发的免费模板,安装方式简单易用。所以,对于初学者来说,我强烈建议使用WordPress来搭建网站。因为这是最简单易用的平台,且使用于任何开发者,用户以及自媒体作家。
./ding -config=./ding.cfg -subdomain=kfire 44444
《Python黑帽子:黑客与渗透测试编程之道》的读书笔记,会包括书中源码,并自己将其中一些改写成Python3版本。书是比较老了,anyway,还是本很好的书
近日,网络安全公司Sekoia有一项新发现:由俄罗斯政府支持的黑客组织“图拉”(Turla)正在对奥地利经济商会、北约平台、波罗的海国防学院(Baltic Defense College)发动一系列攻击。这是Sekoia公司基于Google Tag先前工作的基础上发现的,该公司自2022年以来一直密切关注着俄罗斯黑客的动向。
4月9日,WannaRen勒索病毒作者公布了解密密钥,基于公布的秘钥,绿盟科技研发了相应的解密程序。针对该病毒,我们整理了如下你所关心的FAQ:
跨域是浏览器同源策略而产生的,在不同协议,不同端口,不同域名下(以上任意一个不同都算是跨域)的客服端和服务端之间是无法互相访问的。
将 "<在此输入您的博客的 URL>"替换成你的域名如:blog.youdomain.com;在用户名密码处输入你登陆博客的用户名和密码。
在域名投资中,目前有越来越多的投资人和终端把目光转向了优质的顶级域名,这些顶级域名也偶有高价成交案例。
通过对安全与NLP的实践和思考,有以下三点产出。首先,产出一种通用解决方案和轮子,一把梭实现对各种安全场景的安全检测。通用解决方案给出一类安全问题的解决思路,打造轮子来具体解决这一类问题,而不是使用单个技术点去解决单个问题。具体来说,将安全与NLP结合,在各种安全场景中,将其安全数据统一视作文本数据,从NLP视角,统一进行文本预处理、特征化、预训练和模型训练。例如,在Webshell检测中,Webshell文件内容,在恶意软件检测中,API序列,都可以视作长文本数据,使用NLP技术进行分词、向量化、预训练等操作。同理,在Web安全中,SQLi、XSS等URL类安全数据,在DNS安全中,DGA域名、DNS隧道等域名安全数据,同样可以视作短文本数据。因此,只要安全场景中安全数据可以看作单变量文本数据,这种通用解决方案和轮子就适用,轮子开源在我的github仓库FXY中,内置多种通用特征化方法和多种通用深度学习模型,以支持多种安全场景的特征化和模型训练,达到流水线式作业。
*本文原创作者:rj00,本文属FreeBuf原创奖励计划,未经许可禁止转载 前几天,在freebuf上就发表了新的Cobalt strike,提权利器Cobalt Strike发布3.6版本,介绍什
很多客户使用GTM/DNS为企业业务提供动态智能解析,解决应用就近性访问、优选问题。对于已经实施多数据中心双活的客户,则会使用GSLB提供双活流量调度。DNS作为企业业务访问的指路者,在整个IT基础架构系统中有着举足轻重的作用,一旦DNS无法提供服务,将导致客户无法访问业务系统,造成重大经济损失。因此构建一套高弹性分布式的高安全DNS架构是IT系统建设的基础之石,通常为了保证系统的正常运行,运维人员为了实时掌握系统运行状态如解析速率、失败率、延迟、来源地址位置、智能选路、解析类型、是否存在DNS攻击,要采集大量的实时解析、日志等数据,然而分布式的DNS架构在解决了弹性扩展与安全容错等问题的同时却也增加了运维难度,数据零散在不同的线路设备上,无法从整体上从数据中获取有价值信息,为此netops人员需要同时监控多台设备的日志、解析记录,并分析这些来自多台设备上的数据关系,将这些分散的数据集中记录、存储到统一的系统并进行数据挖掘可大大帮助运维人员实时、直观的掌握DNS系统运行状态、解析状态,帮助快速识别和定位问题。
微信小程序,小程序的一种,英文名Wechat Mini Program,是一种不需要下载安装即可使用的应用,它实现了应用“触手可及”的梦想,用户扫一扫或搜一下即可打开应用。 全面开放申请后,主体类型为企业、政府、媒体、其他组织或个人的开发者,均可申请注册小程序。微信小程序、微信订阅号、微信服务号、微信企业号是并行的体系。 微信小程序是一种不用下载就能使用的应用,也是一项创新,经过将近两年的发展,已经构造了新的微信小程序开发环境和开发者生态。微信小程序也是这么多年来中国IT行业里一个真正能够影响到普通程序员的创新成果,已经有超过150万的开发者加入到了微信小程序的开发,与我们一起共同发力推动微信小程序的发展,微信小程序应用数量超过了一百万,覆盖200多个细分的行业,日活用户达到两个亿,微信小程序还在许多城市实现了支持地铁、公交服务。微信小程序发展带来更多的就业机会,2017年小程序带动就业104万人,社会效应不断提升。
最近工作中遇到一个问题是需要在线可以预览 word、excel 等文件,发现微软有一个 Office Web Apps Server 的产品,可以用来实现这个,需要有两个 Windows Server 服务器,因为一个用来做域控制器,一个用来装 Web Apps Server,而且官方文档指明了不能安装在与控制器的服务器上。除去自己搭建这个服务以外,通过网络发现了 明道 自己搭建了这么一个服务放在了外网,https://docview.mingdao.com/ ,如果是公开的文件不需要保密的或许可以直接使用,另外我看到百度文库有这种付费的 API,但是有一个要求就是必须把文件保存在百度的云盘里面好像是,其实对于 word 文档的还原还是微软提供的 Office Web Apps Server 翻译出来的排版还原程度最高,和使用 word 效果是一模一样的。还有一个种方法是使用其他第三方提供的在线预览,基本上也都是收费的,限制域名或者是文件大小,另外一个是使用 OpenOffice 自己来,我安装了一个 OpenOffice 打开让说依赖旧版本的 JRE6,需要安装 jre6,我直接就放弃了。
近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。请DocuSign的用户提高警惕,在收到相关邮件时仔细查验真伪,不要轻易打开邮件正文中的word文档查看链接。
前几天想爬取一个用户网站自动创建每个用户的资料方便注册一些账号,想写一个通用点的爬虫程序爬取只要配置一些爬取规则、爬取深度就ok,避免代码改动,由于时间关系只完成的个半成品,后面在考虑是用xml文件作为配置文件,还是简单的使用.ini文件,后者虽然简单但局限性太大,所以,,,偷几天懒顺便重新考虑下逻辑。
在上周,Unit 42发表了一个篇关于介绍一个名为DarkHydrus的新威胁组织的博文,我们观察到该组织的目标是位于中东地区的政府实体。在这篇文章中,我们对通过鱼叉式网络钓鱼传播的被我们称之为RogueRobin的PowerShell payload进行了讨论。并且,我们还知道DarkHydrus在2018年6月实施了一次凭证窃取攻击。另外,这似乎还是一场仍在继续进行中的活动,因为我们有证据表明使用相同基础设施的凭证窃取尝试可以追溯到2018年秋季,而这些攻击所针对的目标均是位于中东地区的政府实体和教育机构。
领取专属 10元无门槛券
手把手带您无忧上云