MyBlog 5.0这应该是我的博客5.0版本了。由于之前的服务器和域名过期了,又不想重新搭建服务器,索性直接使用 Github 的 .gitignore 服务搭建,只需要额外购买一个域名就可以投入使用了。等以后有时间折腾了,再配置一个服务器把这个 Blog 搬过去就好了。
由于技术的迭代,建造的过程和我之前搭建博客时已经截然不同了,而且其中也有一些小 Tips 需要记录一下,所以准备记录一下建站的流程。
搭建流程在本地安装 Hexo在 Win 环境下安装 Git 没有什么花里胡哨的,直接下载一个安装包,安装就好了。
在 Win 环境下安装 Node.js 也一样。
Node.js 安装完成后在根目录下新建两个文件夹,node-cache,node-global。这是用来放npm全局模块的安装目录,也可以放到其他地方。
接下来还要配置 Node.js 的环境变量。
新建一个系统变量:
12变量名:NODE_HOME变量值:(你的安装目录)
编辑Path变量,新增两个条目:
12%NODE_HOME%%NODE_HOME%\node-global
运行下面的命令,这里的地址也是安装 ...
网络安全
未读PHP 反序列化漏洞解析序列化与反序列化,以及在工作中经常遇到的反序列化漏洞,每次遇到都会让人十分纠结,在网上看来看去,却总感觉自己在懂和不懂之间反复横跳。终于,在一次 PHP 漏洞总结的时候,单独花了一段时间去梳理了一下 PHP 反序列化漏洞。趁着现在有时间赶紧记录下来。
Data which is untrusted cannot be trusted to be well formed. Malformed data or unexpected data could be used to abuse application logic, deny service, or execute arbitrary code, when deserialized.
在 OWASP 中,反序列化漏洞被称作 “ Deserialization of untrusted data “ ,即“不受信任的数据的反序列化”。而在 “ OWASP Top Ten 2017 “ 中,也提到了 “ Insecure Deserialization “ 即“不安全的反序列化”。但不论这个漏洞具体叫什么,它 ...
网络安全
未读PHP 跨站脚本漏洞解析
Cross-Site Scripting (XSS) attacks are a type of injection, in which malicious scripts are injected into otherwise benign and trusted websites. XSS attacks occur when an attacker uses a web application to send malicious code, generally in the form of a browser side script, to a different end user. Flaws that allow these attacks to succeed are quite widespread and occur anywhere a web application uses input from a user within the output it generates without validating or encoding it. ...
网络安全
未读开放式重定向漏洞
Unvalidated redirects and forwards are possible when a web application accepts untrusted input that could cause the web application to redirect the request to a URL contained within untrusted input. By modifying untrusted URL input to a malicious site, an attacker may successfully launch a phishing scam and steal user credentials.
这是 OWASP 对开放重定向漏洞(Open Redirect)的描述,大意为“当网站接收可以被用户控制的 URL ,跳转到一个攻击者控制的网站时,可能会导致跳转过去的用户的用户凭据和个人信息被窃取”。
由于应用越来越多的需要和其他的第三方应用交互,以及在自身应用内部根据不同的逻辑将用户引向到不同的页面,如果这些 ...