很难理解为什么会有那么多的广告机,而且即使验证码显示为空白照样会有很多广告。最后终于发现是因为PJBLOG存在严重外部提交漏洞。
漏洞成因:
引用内容blogcomm.asp文件对验证码判断不严格。
如果用户没有请求过GetCode.asp文件,那么服务器端Session里面的GetCode值为空,而用户提交的数据里面验证码也为空,这样刚好空等于空,反而通过了验证码验证。
考虑下面的外部提交代码(请谨慎使用):
ASP版:
程序代码<%@ LANGUAGE=”VBSCRIPT” CODEPAGE=”65001″%>
<%
Dim XMLHTTP, Param
P[……]
刚才运行了一段代码,来查看Request.ServerVariables里面有多少值,看了一下,共50个!
代码<%=Request.ServerVariables.count%>
以前感觉Request.ServerVariables里的值很多,现在看看还是那么多,不过今天谈其中的一个值—-HTTP_Referer
首先,我们先知道HTTP_Referer最常用的应用就是能够防止外部提交。
下列情况是从浏览器的地址栏正常取得Request.ServerVariables(“HTTP_REFERER”):
1) 直接用<a href=””>
2)&nb[……]
trunk:表示开发时版本存放的目录,即在开发阶段的代码都提交到该目录上。
branches:表示发布的版本存放的目录,即项目上线时发布的稳定版本存放在该目录中。
tags:表示标签存放的目录。
在这需要说明下分三个目录的原因,如果项目分为一期、二期、三期等,那么一期上线时的稳定版本就应该在一期完成时将代码copy到branches 上,这样二期开发的代码就对一期的代码没有影响,如新增的模块就不会部署到生产环境上。而branches上的稳定的版本就是发布到生产环境上的代码,如 果用户使用的过程中发现有bug,则只要在branches上修改该bug,修改完bug后再编译branch[……]
下载电影的时候,我们总希望在全部下载完成之前能够预览一下影片内容,于是发布者时常会放一些影片截图在种子文件中,或者直接贴到网上,也有一些截图是一张图片,但包含很多幅影片在一起,就像下面这张:
有很多软件能够截取影片图像、合并图像,但如果影片太多,比如视频网站为用户上传的图像生成预览图之类的,人工在gui方式下操作就不可取了,我们需要在命令行方式下来截取、合并。
首先,截取影片图像使用最多的就是mplayer或者ffmpeg,我用mplayer比较熟,本文就以此为例了,ffmpeg功能也是非常强大的,但据说支持的文件格式却不丰富。mplayer截取影片图像的基本命令为:
mplayer -[……]
[……]
.com 1,250,000,000
.org 511,000,000
.net 153,000,000
.cn 46,000,000
.info 13,300,000
.com.cn 12,800,000
.eu 11,500,000
.name 9,030,000
.[……]
版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://jclhy.blogbus.com/logs/45938308.html
Chinese 
English